Google đang lên kế hoạch cho những thay đổi lớn đối với Android vào năm 2026 nhằm chống lại phần mềm độc hại trên toàn bộ hệ sinh thái thiết bị. Bắt đầu từ tháng 9, Google sẽ bắt đầu hạn chế việc cài đặt ứng dụng từ nguồn không chính thức thông qua chương trình xác minh nhà phát triển, nhưng không phải ai cũng đồng ý. Chủ tịch Hệ sinh thái Android, Sameer Samat, chia sẻ với Ars rằng công ty đã lắng nghe phản hồi và kết quả là quy trình nâng cao mới được công bố, cho phép người dùng cao cấp bỏ qua bước xác minh ứng dụng.

Với những hạn chế mới về việc cài đặt ứng dụng từ nguồn không chính thức, điện thoại Android sẽ chỉ cài đặt được các ứng dụng đến từ các nhà phát triển đã được xác minh. Để xác minh, các nhà phát triển phát hành ứng dụng bên ngoài Google Play sẽ phải cung cấp giấy tờ tùy thân, tải lên bản sao khóa ký điện tử và trả phí 25 đô la. Tất cả điều này có vẻ khá rắc rối đối với những người chỉ muốn tạo ứng dụng mà không cần sự can thiệp của Google.

Các ứng dụng đến từ các nhà phát triển chưa được xác minh sẽ không thể cài đặt trên điện thoại Android—trừ khi bạn sử dụng quy trình nâng cao mới , quy trình này sẽ được ẩn trong cài đặt dành cho nhà phát triển.

Khi cài đặt ứng dụng từ nguồn không xác định hiện nay, điện thoại Android sẽ thông báo cho người dùng về tùy chọn "nguồn không xác định" trong cài đặt, và có một quy trình hướng dẫn để bật nó lên. Tuy nhiên, cách bỏ qua xác minh này lại khác và sẽ không được hiển thị cho người dùng. Bạn phải tự tìm ra vị trí của tùy chọn này và chủ động bật nó lên, và đây không phải là một quá trình nhanh chóng. Dưới đây là các bước:

• Kích hoạt tùy chọn nhà phát triển bằng cách chạm vào số phiên bản phần mềm trong mục Giới thiệu về điện thoại bảy lần.
• Trong Cài đặt > Hệ thống, mở Tùy chọn nhà phát triển và cuộn xuống mục “Cho phép các gói chưa được xác minh”.
• Lật nút gạt và chạm để xác nhận bạn không bị ép buộc.
• Nhập mã PIN/mật khẩu mở khóa thiết bị
• Khởi động lại thiết bị của bạn
• Chờ 24 giờ
• Quay lại menu các gói hàng chưa được xác minh sau khi quá trình xác thực hoàn tất.
• Cuộn xuống qua các cảnh báo bổ sung và chọn "Cho phép tạm thời" (bảy ngày) hoặc "Cho phép vô thời hạn".
• Hãy đánh dấu vào ô xác nhận rằng bạn hiểu rõ các rủi ro.
• Giờ đây, bạn có thể cài đặt các gói chưa được xác minh trên thiết bị bằng cách nhấn vào tùy chọn “Cài đặt dù sao đi nữa” trong trình quản lý gói.

Thao tác thực tế để kích hoạt tính năng này chỉ mất vài giây, nhưng bộ đếm ngược 24 giờ khiến bạn không thể làm điều đó một cách vội vàng. Nhưng tại sao lại là 24 giờ? Theo Samat, điều này được thiết kế để chống lại sự gia tăng của các cuộc tấn công kỹ thuật xã hội gây áp lực cao, trong đó kẻ lừa đảo thuyết phục nạn nhân rằng họ phải cài đặt ứng dụng ngay lập tức để tránh hậu quả nghiêm trọng.

 

Bạn sẽ phải đợi 24 giờ để bỏ qua bước xác minh. Nguồn: Google

“Trong khoảng thời gian 24 giờ đó, chúng tôi cho rằng việc kẻ tấn công duy trì cuộc tấn công sẽ trở nên khó khăn hơn nhiều,” Samat nói. “Trong thời gian đó, bạn có thể phát hiện ra rằng người thân yêu của bạn thực sự không bị giam giữ trong tù hoặc tài khoản ngân hàng của bạn thực sự không bị tấn công.”

Nhưng đối với những người chắc chắn rằng họ không muốn hệ thống xác minh của Google cản trở việc cài đặt bất kỳ tệp APK nào họ tìm thấy, họ không cần phải đợi đến khi gặp ứng dụng chưa được xác minh mới bắt đầu. Bạn chỉ cần chọn tùy chọn “vô thời hạn” một lần trên điện thoại và có thể tắt tùy chọn nhà phát triển sau đó.

Lựa chọn so với sự an toàn

Theo Samat, Google cảm thấy có trách nhiệm với người dùng Android trên toàn thế giới, và mọi thứ đã khác so với trước đây khi có hơn 3 tỷ thiết bị đang hoạt động.

“Đối với rất nhiều người trên thế giới, điện thoại là chiếc máy tính duy nhất của họ, và nó lưu trữ một số thông tin riêng tư nhất của họ,” Samat nói. “Trong những năm qua, chúng tôi đã phát triển nền tảng để giữ cho nó mở đồng thời vẫn đảm bảo an toàn. Và tôi muốn nhấn mạnh, nếu nền tảng không an toàn, mọi người sẽ không sử dụng nó, và đó là tình huống thua thiệt cho tất cả mọi người, kể cả các nhà phát triển.”

Nhưng sự an toàn đó trông như thế nào? Google khẳng định họ không quan tâm đến nội dung của các ứng dụng và sẽ không chủ động kiểm tra khi các nhà phát triển đăng ký. Điều này chỉ liên quan đến việc xác minh danh tính – bạn cần biết khi cài đặt một ứng dụng rằng đó không phải là ứng dụng giả mạo và không đến từ những nhà cung cấp phần mềm độc hại đã biết. Nếu một nhà phát triển đã được xác minh phát tán phần mềm độc hại, họ khó có thể duy trì được trạng thái đã được xác minh. Và phần mềm độc hại là gì? Đối với Samat, phần mềm độc hại trong bối cảnh xác minh nhà phát triển là một gói ứng dụng “gây hại cho thiết bị hoặc dữ liệu cá nhân của người dùng mà người dùng không hề mong muốn”.

Vì vậy, theo quan điểm của Samat, rootkit có thể là phần mềm độc hại, nhưng một rootkit bạn tải xuống một cách cố ý vì muốn có quyền truy cập root trên điện thoại của mình thì không phải là phần mềm độc hại. Tương tự, một ứng dụng YouTube thay thế bỏ qua quảng cáo và giới hạn tính năng của Google không gây ra loại thiệt hại dẫn đến các vấn đề về xác minh. Nhưng đây chỉ là những nhận định chung; Google chưa bình luận về bất kỳ ứng dụng cụ thể nào.

 

Google cho biết việc cài đặt ứng dụng từ nguồn không chính thức (sideloading) sẽ không biến mất, nhưng nó đang thay đổi. (Nguồn: Google)

Google đang tiến hành triển khai xác minh một cách thận trọng, và một số chi tiết vẫn chưa rõ ràng. Các nhà hoạt động vì quyền riêng tư đã bày tỏ lo ngại rằng việc xác minh sẽ tạo ra một cơ sở dữ liệu khiến các nhà phát triển độc lập có nguy cơ bị kiện tụng. Ông Samat cho biết Google sẽ phản đối các lệnh của tòa án về dữ liệu người dùng khi chúng không phù hợp. Công ty cũng cho rằng họ không có ý định tạo ra một danh sách vĩnh viễn các danh tính nhà phát triển dễ bị tổn thương trước các yêu cầu pháp lý. Chúng tôi đã yêu cầu thêm chi tiết về những dữ liệu mà Google lưu giữ từ quá trình xác minh và trong khoảng thời gian nào.

Cũng có lo ngại rằng các nhà phát triển sống tại các quốc gia bị trừng phạt có thể không thể xác minh do phí yêu cầu. Google lưu ý rằng quy trình xác minh có thể khác nhau giữa các quốc gia và không được tạo ra để loại trừ các nhà phát triển ở những nơi như Cuba hay Iran. Chúng tôi đã yêu cầu thông tin chi tiết về cách Google sẽ xử lý những trường hợp ngoại lệ này và sẽ cập nhật nếu có thêm thông tin.