Với tính năng xác thực nhà phát triển, sự ganh tị của Google với Apple đang đe dọa phá bỏ di sản mở của Android.

Tác giả dinhtri 04/03/2026 48 phút đọc

Vẫn còn nhiều câu hỏi chưa được giải đáp khi Google chuẩn bị siết chặt việc phân phối ứng dụng Android dưới danh nghĩa bảo mật. app-cops-1

→Google dự định bắt đầu kiểm duyệt tất cả các ứng dụng Android vào cuối năm nay.

Đã gần 20 năm kể từ khi Google ra mắt Android, hệ điều hành mà công ty mô tả là hệ điều hành di động “thực sự mở” đầu tiên, tạo nên sự khác biệt giữa điện thoại chạy hệ điều hành Google và trải nghiệm được quản lý chặt chẽ của iPhone. Tuy nhiên, theo thời gian, Android ngày càng trở nên giống với cách tiếp cận của Apple. Hiện tại, người dùng vẫn có quyền quyết định cuối cùng về phần mềm nào được chạy trên điện thoại thông minh ngày càng bị khóa chặt của họ. Tuy nhiên, cuối năm nay, Google dự định sẽ hạn chế nghiêm trọng quyền tự do đó vì lý do bảo mật.

Trong những tuần tới, Google sẽ chính thức ra mắt tính năng xác minh nhà phát triển Android , yêu cầu các nhà phát triển ứng dụng bên ngoài Play Store phải đăng ký bằng tên thật và trả phí cho Google. Nếu không làm vậy, ứng dụng của họ sẽ bị chặn cài đặt (đôi khi được gọi là cài đặt thủ công) trên hầu hết các thiết bị Android. Google cho biết đây là một bước tiến cần thiết trong mô hình bảo mật của nền tảng, nhưng việc thay đổi hiện trạng có thể khiến các nhà phát triển rời bỏ Android và gây nguy hiểm cho quyền riêng tư của những người còn lại.

Điều này có thể giúp điện thoại của bạn an toàn hơn một chút, đúng vậy, nhưng nó sẽ không ngăn được mọi người bị lừa đảo. Đồng thời, nó có thể tước đi những gì đã làm nên sự đặc biệt của hệ sinh thái Android ngay từ đầu.

Đánh vào cối xay gió

Cửa hàng Play của Google (trước đây là Android Market) đã trải qua nhiều thay đổi hơn là chỉ đổi tên trong những năm qua. Thời kỳ đầu, hầu như không có quy định nào, cho phép các nhà phát triển phát hành ứng dụng can thiệp vào các tính năng hệ thống không được ghi chép, vi phạm bản quyền và lợi dụng các lỗ hổng để giành quyền truy cập root. Ngày nay, Google có nhiều lớp bảo mật giúp phát hiện và loại bỏ phần mềm độc hại, và điều đó chắc chắn đã làm cho Android an toàn hơn. Theo Christoph Hebeisen, giám đốc nghiên cứu tình báo bảo mật tại Lookout, việc xác minh nhà phát triển cũng có thể tiếp tục giúp điện thoại của bạn an toàn hơn.

Mặc dù vẫn còn những lo ngại về phần mềm độc hại trên Play Store , nhưng Google đang làm đúng hướng. Hebeisen cho biết lượng phần mềm độc hại trên Google Play ít hơn nhiều so với bên ngoài, và hệ thống bảo vệ tốt đến mức các tác nhân đe dọa thường không buồn phát tán phần mềm độc hại thông qua nền tảng của Google. Việc đó không đáng tốn thời gian khi hầu hết các ứng dụng của chúng sẽ bị gắn cờ ngay lập tức.

Trong khi Google đang tiến gần đến việc bắt buộc đăng ký đối với tất cả các nhà phát triển Android, họ lại đang quảng bá mạnh mẽ hiệu quả của các biện pháp khác. Google cho biết Play Protect, tính năng chống phần mềm độc hại được tích hợp trong tất cả các thiết bị Android được Google chứng nhận, sẽ quét 350 tỷ ứng dụng Android mỗi ngày tính đến đầu năm 2026 — bao gồm cả những ứng dụng được tải xuống từ Play Store và các ứng dụng được cài đặt thủ công.

Hebeisen giải thích với Ars rằng Play Protect nhắm vào một phần khác của quy trình so với việc xác minh nhà phát triển. Play Protect có thể gắn cờ và xóa các ứng dụng riêng lẻ, điều này kém hiệu quả hơn so với việc chặn toàn bộ hồ sơ nhà phát triển, và nó có thể bị vô hiệu hóa. Google cho rằng người dùng thường bị các tác nhân đe dọa "hướng dẫn" để vô hiệu hóa các tính năng như Play Protect, cho thấy cần có các biện pháp kiểm soát nghiêm ngặt hơn. Tuy nhiên, không phải ai cũng tin vào điều đó.

“Những kịch bản này đối với tôi có vẻ thực sự khó tin, nhưng [Google] vẫn chưa tiết lộ bất kỳ con số cụ thể nào về số người bị ảnh hưởng,” Marc Prud'hommeaux, một thành viên hội đồng quản trị của cửa hàng phần mềm mã nguồn mở miễn phí nổi tiếng F-Droid, cho biết. “Họ chỉ đưa ra những thống kê rất mơ hồ nói rằng có lượng phần mềm độc hại bên ngoài Play Store nhiều gấp 50 lần so với bên trong Play Store.”

Nhưng tại sao Google đột nhiên lại quan tâm đến việc áp đặt những cải cách cụ thể này lên các nhà phát triển không thuộc Google? Hebeisen cho rằng có lẽ là do họ đang ghen tị với Apple.

“Tôi nghĩ Google có lẽ đã nhìn vào Apple và tự hỏi 'tại sao điều đó lại hiệu quả với họ?'”, Hebeisen nói. “Bởi vì xét về mặt kỹ thuật, không có sự khác biệt cơ bản về bảo mật. Tại sao lại có nhiều báo cáo về phần mềm độc hại trên Android hơn so với iOS? Và tôi nghĩ họ đã đi đến kết luận rằng hệ sinh thái nhà phát triển và khả năng phân phối và cài đặt ứng dụng thực sự tạo nên sự khác biệt lớn.”

Theo thời gian, Google đã thực hiện nhiều thay đổi kỹ thuật đối với hệ thống Android nhằm giảm thiểu sự lây lan của phần mềm độc hại. Họ đã triển khai các quyền truy cập chi tiết trong quá trình chạy, bắt buộc cập nhật bảo mật định kỳ cho các thiết bị mới, thêm tính năng quét phần mềm độc hại vào tất cả các thiết bị được chứng nhận, và tất nhiên, đã làm cho việc cài đặt ứng dụng từ các nguồn không xác định trở nên khó khăn hơn. Android hiện an toàn hơn rất nhiều so với trước đây, nhưng vẫn có những giới hạn.

“Về mặt kỹ thuật, bạn chỉ có thể làm được một số việc nhất định, vì vậy bạn phải siết chặt kiểm soát đối với các nhà phát triển,” Hebeisen nói, đồng thời thừa nhận rằng những hành động như vậy có một số hậu quả tiêu cực. “Android luôn là một hệ thống thân thiện và cởi mở, nơi bạn có thể làm bất cứ điều gì mình muốn, và điều đó phần nào bị hạn chế [với việc xác minh nhà phát triển], rõ ràng là vì giờ đây bạn bắt buộc phải đăng ký nếu muốn phân phối ứng dụng.”

Kết quả được cho là của quá trình xác minh là khi Google phát hiện một ứng dụng tham gia vào hoạt động độc hại, họ có thể loại bỏ nó nhanh hơn. Theo Google, họ chỉ quan tâm đến việc loại bỏ các ứng dụng gây ra “ mức độ nguy hại cao ”, thường được mô tả là phần mềm độc hại trong tài liệu của Google, và đây là “cùng một tiêu chuẩn”. Công ty đã từ chối cung cấp thêm chi tiết về định nghĩa ứng dụng độc hại của mình cho Ars. Tuy nhiên, định nghĩa về phần mềm độc hại vẫn còn mơ hồ, và ngay cả các đối tác của Google cũng có thể không đồng ý về những gì được coi là độc hại.

“Chúng tôi là một phần của hệ sinh thái App Defense Alliance, nơi Google gửi cho chúng tôi mọi ứng dụng được đưa lên Google Play trước khi được xuất bản,” Hebeisen cho biết. “Chúng tôi tiến hành phân tích và gửi lại cho họ. Họ không phải lúc nào cũng tin lời chúng tôi. Có khá nhiều ứng dụng sẽ được xuất bản, mặc dù chúng tôi coi chúng là rủi ro.”

Tuy nhiên, điều ngược lại cũng đúng. “Có những ứng dụng mà chúng tôi cho là vô hại nhưng Google thì không,” Hebeisen giải thích. “Đó chủ yếu là những vi phạm điều khoản dịch vụ và những thứ tương tự sẽ không ảnh hưởng trực tiếp đến người dùng. Vì vậy, không có sự đồng thuận 100%.”

Kết quả cuối cùng là việc xác minh của nhà phát triển cung cấp cho Google các công cụ để loại bỏ ứng dụng, và Google có quyền quyết định điều gì sẽ được coi là mức độ gây hại cao trong tương lai. Nhóm F-Droid đã chứng kiến những thay đổi về tiêu chuẩn trên toàn thế giới, và điều đó khiến họ lo ngại.

Marc Prud'hommeaux của F-Droid cho biết: “Họ nói, 'Ồ, chúng tôi muốn ngăn chặn phần mềm độc hại,' và điều đó nghe có vẻ hay đấy, nhưng hãy cho tôi xem định nghĩa của các bạn và chứng minh rằng định nghĩa này sẽ được đồng thuận bởi một nhóm chuyên gia bảo mật độc lập và cộng đồng. Họ không làm điều đó. Họ chỉ nói phần mềm độc hại là bất cứ thứ gì chúng tôi định nghĩa, và khi ngày mai họ nói, 'VPN là phần mềm độc hại,' thì hãy nói lời tạm biệt với VPN đi.”

Ngay cả khi những tuyên bố của Google là đúng, việc xác minh nhà phát triển cũng không thể ngăn chặn người dùng bị lừa đảo. Kẻ tấn công nhắm mục tiêu vào Android thậm chí không nhất thiết phải khiến người dùng cài đặt phần mềm độc hại—bất kể đó là gì—để lừa đảo họ. Cảm giác khẩn cấp giả tạo tương tự có thể thuyết phục mọi người cài đặt ứng dụng đáng ngờ (ví dụ: “tài khoản Facebook của bạn sắp bị khóa vĩnh viễn!”) cũng có thể được sử dụng để khiến họ cài đặt một ứng dụng hỗ trợ từ xa hoàn toàn hợp pháp từ Play Store và cấp cho kẻ gian lận toàn quyền truy cập.

Có sự khác biệt giữa việc giải quyết vấn đề cho người dùng và giải quyết vấn đề cho Google. Trong trường hợp này, việc xác minh của nhà phát triển có thể giúp chuyển trách nhiệm về các vấn đề bảo mật di động khỏi Google.

“Những kẻ gây ra mối đe dọa sẽ không biến mất,” ông Hebeisen nói. “Chúng sẽ chuyển đến nơi khác và nghĩ ra những phương pháp lừa đảo mới, sáng tạo hơn, và chúng cũng sẽ thành công ở đó.”

Google nắm quyền quyết định

Với sự tràn lan của các ứng dụng AI và các trang web bán hàng tự động trên Play Store, người ta dễ dàng quên rằng phần mềm phi thương mại vẫn là một phần quan trọng của hệ sinh thái Android. Các dự án mã nguồn mở cung cấp những công cụ thiết yếu cho rất nhiều người, và nhiều trong số đó được phân phối bên ngoài nền tảng của Google vì nhiều lý do — trong đó lý do quan trọng nhất là một số người đơn giản không tin tưởng Google.

Tính ẩn danh trực tuyến từng là điều mặc định, nhưng việc truy cập vào các nguồn tài nguyên và dịch vụ đang ngày càng trở nên khắt khe hơn. Các nền tảng yêu cầu quét khuôn mặt và xác minh danh tính với lý do bảo vệ trẻ em và những người dễ bị tổn thương, nhưng những chiến thuật này cũng buộc mọi người phải gắn kết sự tồn tại ngoài đời thực của họ với những gì họ làm và tạo ra trực tuyến. Trong trường hợp xác minh nhà phát triển, tình trạng này có thể cản trở sự đổi mới mã nguồn mở đã làm nên Android như ngày nay.

Dự án Guardian , được thành lập năm 2009 để hỗ trợ phát triển các ứng dụng mã nguồn mở trên toàn thế giới, đã tồn tại gần như cùng thời điểm với Android. Theo người sáng lập Nathan Freitas, có rất nhiều nhà phát triển đang thực hiện những công việc quan trọng nhưng không muốn hợp tác với Google. Tổ chức này hướng đến mục tiêu tăng cường sức mạnh cho hệ sinh thái Android rộng lớn hơn bằng cách giúp các nhà phát triển đó tiếp cận người dùng.

“Mục tiêu của dự án Guardian là hỗ trợ những người bình thường vì ai cũng có tiềm năng trở thành nhà hoạt động. Ai cũng có tiềm năng trở thành nhà báo công dân. Ai cũng là nhân chứng,” Freitas nói. “Chúng tôi thực sự muốn loại bỏ quan niệm rằng bạn phải am hiểu công nghệ mới có thể bảo vệ quyền riêng tư.”

Việc phụ thuộc vào điện toán đám mây của Google sẽ là yếu tố cốt lõi trong quá trình xác minh nhà phát triển. Google đang tạo ra một cơ sở dữ liệu về các nhà phát triển, nhưng chỉ một phần dữ liệu đó sẽ được lưu trữ tạm thời trên thiết bị. Đối với nhiều ứng dụng được cài đặt, điện thoại của bạn sẽ cần kết nối với máy chủ của Google để xác minh tệp APK, điều này thực chất ngăn cản việc cài đặt ứng dụng khi ngoại tuyến. Đó là một vấn đề thực sự đối với các mô hình phân phối ứng dụng thay thế, ví dụ như ButterBox của Guardian Project , một máy chủ siêu nhỏ chạy bằng năng lượng mặt trời có thể cung cấp quyền truy cập ngoại tuyến vào các cuộc trò chuyện được mã hóa, bản đồ, chia sẻ tệp và các công cụ quan trọng khác. Dự án này, được xây dựng với sự hợp tác của nhóm F-Droid, về cơ bản không tương thích với việc xác minh nhà phát triển.

“Trong nỗ lực làm cho mọi thứ tốt hơn, họ đã khiến quy trình trở nên khó khăn hơn,” Freitas nói. “Đây là một vấn đề rất phổ biến trong mô hình tư duy của các công ty công nghệ lớn… giống như bạn đang lái chiếc Tesla của mình trên đường cao tốc 101 ở Thung lũng Silicon. Đó là người dùng, bạn biết đấy, một người có 5G và kết nối tuyệt vời mọi lúc.”

Một số người có thể bị khóa truy cập Android, ngay cả khi họ có kết nối 5G hoàn hảo. Bằng cách yêu cầu các nhà phát triển đăng ký và trả phí, Google về cơ bản đang thiết lập mối quan hệ kinh doanh với những người mà lẽ ra không muốn liên quan gì đến công ty. Chỉ vì nhà phát triển đó là ai hoặc họ sống ở đâu, ứng dụng của họ có thể bị chặn trên hầu hết các thiết bị Android.

“Sẽ có một số nhà phát triển tạo ra các ứng dụng hoàn toàn hợp pháp, nhưng vì họ sống ở một quốc gia bị trừng phạt hoặc thuộc một tổ chức bị trừng phạt, theo luật, Google sẽ không thể cho phép những người này đăng ký,” Marc Prud'hommeaux của F-Droid nhận xét. “Vì vậy, điều đó ngay lập tức đóng cánh cửa đối với những người đang phát triển ứng dụng, và họ tình cờ là thẩm phán của Tòa án Hình sự Quốc tế hoặc cư dân của Cuba. Nhưng chỉ có vậy thôi. Họ không thể đưa sản phẩm của mình ra thế giới.”

Không ai biết những cuộc thảo luận nội bộ của Google về thay đổi này diễn ra như thế nào — chúng ta chỉ có thể phỏng đoán về động cơ của công ty. Tuy nhiên, ngay cả nhóm tại F-Droid, nhóm công khai phản đối kế hoạch của Google, cũng tin rằng việc xác minh danh tính nhà phát triển có thể sẽ làm chậm các chiến dịch phần mềm độc hại truyền thống. Nhưng điều đó cũng trao cho Google nhiều quyền lực hơn.

“Biện pháp này có thể làm giảm lượng phần mềm độc hại, nhưng đồng thời, nó cũng làm giảm nhiều hoạt động hợp pháp khác,” Hans-Christoph Steiner, trưởng nhóm kỹ thuật của F-Droid, cho biết. Ông dẫn chứng các trình chặn quảng cáo và các ứng dụng xem YouTube thay thế làm ví dụ. Ban đầu, Google cho phép các trình chặn quảng cáo cấp hệ thống trong cửa hàng của mình, nhưng việc thắt chặt các hạn chế cuối cùng đã dẫn đến việc hầu hết các công cụ đó bị cấm. Ông nói rằng, có thể ai đó sẽ lập luận rằng những công cụ này có hại—thậm chí ở mức độ cao.

“Mọi người muốn sử dụng những ứng dụng đó vì những lý do chính đáng, và chúng tôi cung cấp những ứng dụng như vậy một cách an toàn,” Steiner nói. “Đây đều là những thứ hợp pháp mà mọi người muốn nhưng Google không muốn. Vì vậy, khi chúng tôi liên tục cung cấp các trình chặn quảng cáo, các ứng dụng khách thay thế, các bộ công cụ root – tất cả những thứ vi phạm điều khoản dịch vụ của [Google], thì việc họ chặn chúng tôi dường như là điều không thể tránh khỏi.”

Ars Technica đã liên hệ với Google để hỏi về các nhà phát triển ở các quốc gia bị trừng phạt và khả năng tham gia vào quá trình xác minh của họ, cũng như liệu các ứng dụng vi phạm chính sách như các ứng dụng thay thế YouTube có được xác minh hay không. Tính đến thời điểm bài báo này được đăng tải, công ty vẫn chưa đưa ra bình luận nào.

Bảo mật thông tin là một vấn đề toàn cầu đối với một công ty toàn cầu.

Giả sử các nhà phát triển tuân thủ các quy tắc xác minh mới của Google, họ sẽ phải cung cấp thông tin cá nhân, bao gồm giấy tờ tùy thân do chính phủ cấp và thông tin doanh nghiệp. Hệ thống xác minh của Google sẽ cho phép công ty lưu giữ những thông tin này trên phạm vi toàn cầu, mở rộng ra ngoài nhóm các nhà phát triển Play Store mà công ty đã biết đến. Điều đó sẽ khiến các nhà phát triển đối mặt với những mối đe dọa pháp lý mới, theo giải thích của Corynne McSherry, giám đốc pháp lý tại Tổ chức Biên giới Điện tử (Electronic Frontier Foundation).

“Vấn đề với việc tạo ra chương trình xác minh kiểu này là nó nhất thiết tạo ra một cơ sở dữ liệu,” bà nói. “Cơ sở dữ liệu đó sau đó sẽ dễ bị tổn thương trước các trát đòi, lệnh khám xét, yêu cầu của chính phủ và đôi khi là yêu cầu từ tư nhân. Đôi khi mọi người tạo ra các ứng dụng bảo vệ quyền riêng tư, rất quan trọng đối với những người bảo vệ nhân quyền, nhà báo, v.v. Và có những chính phủ rất muốn biết tên của những nhà phát triển các ứng dụng đó để họ có thể truy tố họ.”

Không thể phủ nhận Google có phạm vi ảnh hưởng toàn cầu khổng lồ—nó là công cụ tìm kiếm hàng đầu với khoảng cách rất lớn ở mọi quốc gia ngoại trừ Trung Quốc và Nga, và các thiết bị Android phổ biến hơn nhiều so với iPhone ở hầu hết các nơi. Điều đó có nghĩa là các chính sách và biện pháp bảo vệ quyền riêng tư của Google phải thích ứng với từng thị trường khác nhau.

Bạn có thể nghĩ rằng luật pháp quốc gia sẽ bảo vệ dữ liệu của bạn, nhưng đó là vấn đề của việc trở thành một thương hiệu toàn cầu: Có rất nhiều nơi mà tòa án không coi trọng quyền cá nhân.

“Ở Hoa Kỳ, chúng ta có truyền thống bảo vệ những thứ như phát ngôn ẩn danh,” McSherry nói, đồng thời lưu ý rằng những biện pháp bảo vệ đó đã bị suy yếu gần đây. “Tuy nhiên, chúng ta vẫn có những biện pháp bảo vệ mặc định cho tính ẩn danh mà rất nhiều quốc gia khác không có, và đó là một giả định mà bạn đang bác bỏ ngay lập tức.”

Hồ sơ của Google sẽ là mục tiêu rất hấp dẫn đối với các chính phủ và tập đoàn muốn truy tìm nhà phát triển ứng dụng, ngay cả khi người đó ở phía bên kia địa cầu. Theo McSherry, các chính phủ có thể tìm kiếm thông tin về các nhà phát triển ứng dụng mà họ cho là gây rối, ngay cả khi họ cư trú ở một quốc gia khác. Các tập đoàn cũng có thể thực hiện "lựa chọn tòa án" bằng cách tìm một tòa án phù hợp để họ có thể tuyên bố mình bị thiệt hại.

“Các cá nhân hoặc tổ chức tư nhân có thể chỉ cần đến quốc gia có quy trình tố tụng dễ dàng và nhanh chóng nhất,” McSherry nói. “Họ đến đó và xin trát tòa hoặc một văn bản tương đương để tìm kiếm thông tin.”

Khi thông tin đó bị lộ, các nhà phát triển có thể dễ bị tổn thương trước các hậu quả pháp lý, các vụ kiện tụng, hoặc sự giám sát chặt chẽ hơn của chính phủ. Điều này cũng đang xảy ra. Nhiều nhà phát triển đã chọn cách ẩn danh trực tuyến do các yêu cầu pháp lý liên tục thay đổi. Một điều hoàn toàn hợp pháp và ổn thỏa hôm nay có thể bị hạn chế nghiêm ngặt vào ngày mai — ví dụ, luật về mã hóa tin nhắn ở châu Âu và VPN ở Ấn Độ.

“Chúng tôi làm việc với các nhà phát triển trong nhóm, những người luôn sử dụng bí danh, ngay cả khi họ là công dân châu Âu hay công dân Mỹ,” Nathan Freitas của Guardian Project cho biết. “Đó là vì gia đình, vì nơi họ thường xuyên đi du lịch, hoặc nơi họ từng sinh sống. Nhiều năm trước, tôi đã lựa chọn sử dụng tên thật và danh tính của mình. Đôi khi tôi hối hận vì không thể đến Ấn Độ do công việc của chúng tôi về VPN là bất hợp pháp ở Ấn Độ.”

Google đã nhiều lần khẳng định rằng họ tuân thủ các yêu cầu pháp lý hợp lệ về thông tin người dùng – họ không có lựa chọn nào khác nếu muốn hoạt động tại một quốc gia nhất định. Và họ nhận được rất nhiều yêu cầu như vậy. Sau thời kỳ tương đối trì trệ trong những năm 2010, các yêu cầu pháp lý về dữ liệu người dùng đã bùng nổ trong những năm gần đây. Trong nửa đầu năm 2025, giai đoạn được báo cáo gần đây nhất , Google đã nhận được 664.843 yêu cầu nhắm vào 287.027 người dùng. Đó là mức tăng gần gấp 10 lần trong thập kỷ qua và tăng khoảng 18% (về số lượng người dùng) chỉ riêng trong nửa đầu năm 2025.

Việc mở rộng số lượng nhà phát triển trong cơ sở dữ liệu của Google chỉ khiến họ trở thành mục tiêu thường xuyên hơn của các vụ kiện tụng

Liệu “quy trình nâng cao” có thể cứu chúng ta?

Phản ứng dữ dội từ các nhà phát triển đã diễn ra nhanh chóng khi Google công bố kế hoạch của mình vào năm ngoái. Cuối cùng, công ty tuyên bố sẽ xây dựng một " quy trình nâng cao " dành cho người dùng cao cấp muốn bỏ qua bước xác minh nhà phát triển. Đối với nhiều người dùng, động thái này là tất cả những gì họ cần để ngừng lo lắng và tin tưởng Google. Tuy nhiên, bản chất của sự bất tiện bổ sung đó vẫn chưa rõ ràng, và Google không có nhiều lựa chọn nếu vẫn muốn đạt được mục tiêu đã đề ra là bảo vệ người dùng khỏi phần mềm độc hại.

Việc cài đặt ứng dụng từ nguồn không xác định (sideloading) vốn đã gặp nhiều khó khăn. Bạn sẽ nhận được cảnh báo khi cố gắng tải xuống tệp APK, và một cảnh báo khác xuất hiện khi bạn cố gắng mở tệp đó. Cả hai cảnh báo đều nêu rõ rằng việc cài đặt ứng dụng được tải xuống từ nguồn không xác định có thể gây hại cho thiết bị của bạn. Để tiếp tục cài đặt, bạn phải vào phần cài đặt để bật tùy chọn này cho ứng dụng nguồn (như Chrome). Chỉ khi đó quá trình cài đặt mới được tiến hành.

→Mô hình bảo mật hiện tại không hề nương tay khi bạn cố gắng tải xuống tệp APK.

Nhưng liệu việc thêm nhiều thao tác nhấp chuột hoặc cảnh báo có hiệu quả không? Đối với Hebeisen, đây dường như là một điểm yếu trong kế hoạch nếu mục đích của Google là giảm sự lây lan của phần mềm độc hại.

“Rõ ràng là các đối tượng tấn công đã tìm ra cách lừa đảo người dùng bằng kỹ thuật xã hội để họ cho phép cài đặt ứng dụng từ các nguồn bên thứ ba,” Hebeisen nói. “Vậy thì việc lừa đảo họ bằng kỹ thuật này sẽ khó khăn hơn đến mức nào?”

Nhóm phát triển cửa hàng ứng dụng mã nguồn mở F-Droid nhận thấy nhiều vấn đề với sự thiếu minh bạch trong kế hoạch của Google. Prud'hommeaux của F-Droid tin rằng việc Google sử dụng các từ như “nâng cao” và “có kinh nghiệm” là một dấu hiệu đáng báo động. Ông nói: “F-Droid không dành cho người dùng nâng cao, cũng không dành cho người dùng có kinh nghiệm. Nó chỉ dành cho những người dùng quan tâm đến quyền riêng tư.”

Trong một bài đăng blog gần đây, F-Droid tuyên bố rằng Google thậm chí còn chưa bắt đầu phát triển hệ thống này . Vào tháng 11, Google cho biết họ đang tìm kiếm “phản hồi ban đầu” về cách thức quy trình xác thực nâng cao có thể chống lại sự ép buộc và cảnh báo người dùng về các rủi ro một cách chính xác. Theo Christoph Hebeisen của Lookout, tính đến cuối tháng 2 năm 2026, Google vẫn chưa hỏi nhóm của ông về thiết kế của quy trình xác thực nâng cao. Trong khi đó, Prud'hommeaux nói với Ars rằng các cuộc trò chuyện của ông với đại diện của Google cho thấy quy trình xác thực nâng cao sẽ không khả dụng cho đến năm 2027, rất lâu sau khi việc thực thi xác minh bắt đầu vào tháng 9 năm nay.

Dường như đề xuất của Google về quy trình nâng cao không phải là một giải pháp thực sự mà chỉ là một “khái niệm về kế hoạch”. Chúng tôi đã liên hệ với Google để xin bình luận, nhưng công ty này từ chối cung cấp thêm thông tin chi tiết về thời gian biểu hoặc bản chất của quy trình nâng cao vào thời điểm này.

Nếu Google bắt đầu chặn các ứng dụng chưa được xác minh trước khi cung cấp tùy chọn này, họ sẽ không có nhiều động lực để làm cho nó thực sự hữu ích—Google sẽ đã có mọi thứ họ muốn, và sẽ quá muộn để các nhà phát triển và những người đam mê di động có thể làm bất cứ điều gì về điều đó.

Hãy hy vọng điều tốt đẹp nhất, nhưng cũng chuẩn bị cho điều tồi tệ nhất.

Mặc dù tiến độ có thể thay đổi, Google cho biết họ dự định cung cấp quyền truy cập toàn cầu vào bảng điều khiển dành cho nhà phát triển mới và quy trình xác minh danh tính liên quan trong tháng này. Công ty sẽ bắt đầu thực thi xác minh nhà phát triển vào tháng 9, nhưng chỉ ở Brazil, Singapore, Indonesia và Thái Lan - những thị trường có tỷ lệ phần mềm độc hại và các vụ lừa đảo kỹ thuật xã hội áp lực cao cao hơn. Vào năm 2027, Google sẽ tiếp tục mở rộng các yêu cầu xác minh cho đến khi tất cả các khu vực đều được bao phủ.

Một số tổ chức vẫn hy vọng có thể thay đổi quyết định của Google. F-Droid có một trang web hướng dẫn người dùng liên hệ với các cơ quan quản lý để phản đối việc xác minh nhà phát triển. Trang web này cũng kêu gọi các nhà phát triển độc lập không tuân thủ các yêu cầu xác minh của Google.

Nhóm F-Droid mới đây đã công bố một bức thư ngỏ gửi Google, được ký bởi 35 tổ chức, bày tỏ mối quan ngại sâu sắc về những tác động của thay đổi này đối với nền tảng Android, nhưng Google dường như đã quyết tâm thực hiện kế hoạch của mình. Ngay cả khi một lượng lớn các nhà phát triển độc lập tẩy chay quá trình xác minh, Google vẫn có thể tiếp tục tiến hành.

Xét trên phương diện cá nhân, người dùng Android không thể làm được nhiều. Có thể bạn sẽ phải để Google kiểm duyệt các ứng dụng của mình, và hầu hết thời gian bạn thậm chí không nghĩ đến điều đó. Cho đến khi bạn gặp khó khăn khi cố gắng cài đặt ứng dụng từ cửa hàng của nhà cung cấp khác mà không có kết nối Internet ổn định, hoặc phát hiện ra ứng dụng mã nguồn mở mà bạn muốn sử dụng chưa được xác minh.

Một số nhà phát triển có thể đơn giản là quyết định từ bỏ việc phát triển ứng dụng Android. Nathan Freitas của Guardian Project lưu ý rằng web di động đã trở nên tốt hơn rất nhiều đối với các nhà phát triển trong những năm gần đây. “Chúng tôi đã chuyển rất nhiều dự án của mình sang các ứng dụng web tiến bộ (PWA) vì chúng hiện có thể làm được nhiều việc hơn,” Freitas nói. “Kiểu như, 'Liệu chúng ta có thể làm điều này trên trình duyệt không?' Nếu có, thì câu trả lời là có.”

Sử dụng nhiều ứng dụng web hơn có thể giúp ích, nhưng cách duy nhất để thực sự thoát khỏi hệ thống xác minh của Google là ngừng sử dụng phiên bản Android do Google cung cấp. Mặc dù có một số điện thoại Android không được chứng nhận trên thị trường, nhưng những thiết bị này thường đầy rẫy các lỗ hổng bảo mật. Vì vậy, điều đó không giải quyết được vấn đề. Cài đặt một hệ điều hành thay thế dựa trên Android (đôi khi được gọi là ROM) bảo vệ quyền riêng tư như LineageOS hoặc GrapheneOS có thể hiệu quả. Điều này cho phép bạn kiểm soát hoàn toàn phần mềm chạy trên điện thoại của mình, nhưng việc tùy chỉnh điện thoại theo cách này ngày càng khó khăn hơn.

Marc Prud'hommeaux của F-Droid cho rằng ROM Android là một giải pháp không khả thi để duy trì các dự án mã nguồn mở. Việc cài đặt các gói phần mềm này vượt quá khả năng của hầu hết mọi người, và các nhà sản xuất thiết bị cũng không hề tạo điều kiện thuận lợi với các sản phẩm bị khóa. “Mỗi chiếc điện thoại bạn mua đều được chứng nhận Android, và nhiều chiếc trong số đó có bootloader bị khóa,” Prud'hommeaux nói.

Ở một mức độ nào đó, những hạn chế này là không thể tránh khỏi đối với các thiết bị kết nối với mạng di động. “Thiệt hại thuộc về các công ty viễn thông và các nhà mạng di động,” Freitas nói, đồng thời giải thích rằng các nhà mạng có những kỳ vọng và yêu cầu nhất định đối với bất kỳ thiết bị thu phát sóng băng tần cơ sở nào trên mạng của họ. “Thiết bị này phải hoạt động như một chiếc điện thoại, vì vậy chúng ta không thể để nó hoạt động như một chiếc máy tính hỗn loạn.”

Nếu bạn không thể mở khóa bootloader trên điện thoại, bạn sẽ bị mắc kẹt với phần mềm gốc và bất kỳ thay đổi bảo mật nào do Google và nhà sản xuất thiết bị thực hiện. Và ngày càng có vẻ như họ sẽ quyết định rằng bạn cần được bảo vệ khỏi chính mình.