Google bật mí kế hoạch hạn chế sideloading, giáng một đòn mạnh vào sự tự do của Android

Tin tức không mấy vui vẻ với một bộ phận người dùng Android. Nền tảng hệ điều hành vốn từ lâu được đánh giá là khá “dân chủ” với việc cài ứng dụng ngoài (sideloading) – sẽ bắt đầu siết chặt hơn đáng kể hoạt động này từ năm sau. Google vừa công bố chi tiết cách cơ chế này được triển khai. Tuy vẫn có vài điểm sáng, nhưng với nhiều người thì vẫn là tin buồn.

Cụ thể theo thông tin mới, thay đổi này sẽ được áp dụng từ bản Android 16 quý 2. Google khẳng định rằng “sideloading là một phần cốt lõi của Android và sẽ không biến mất”, những biện pháp mới nhằm mục tiêu giúp việc cài ứng dụng ngoài an toàn hơn. Tuy nhiên, hệ thống mới vẫn có thể gây ra một số phiền toái.

Android Developer Verifier – lớp kiểm tra mới

Khi người dùng cài ứng dụng lần đầu, một dịch vụ hệ thống mới mang tên Android Developer Verifier sẽ được kích hoạt. Dịch vụ này sẽ kết nối tới máy chủ Google để xác minh rằng khóa ký ứng dụng và tên gói (package name) đã được đăng ký bởi một nhà phát triển hợp lệ.

• Với các ứng dụng phổ biến đã được xác minh, hệ thống sẽ lưu trong bộ nhớ cache trên thiết bị, cho phép cài đặt mà không cần Internet.
• Ngược lại, với những app ít phổ biến, thiết bị sẽ buộc phải có kết nối mạng để kiểm tra, điều này có thể gây bất tiện.

Mặt khác khác, Google cũng thừa nhận nhu cầu chính đáng của người dùng trong việc cài app từ nhà phát triển độc lập hoặc cửa hàng bên thứ ba. Để hỗ trợ, công ty sẽ giới thiệu thêm “pre-auth token” – một đoạn mã xác thực cho phép cửa hàng ứng dụng xác minh trực tiếp mà không cần gọi mạng nhiều lần. Đặc biệt, các thay đổi này cũng sẽ được backport (đưa ngược trở lại) trên các bản Android cũ thông qua cập nhật Google Play Protect.

Một điểm đáng chú ý là Google sẽ ra mắt loại tài khoản dành riêng cho sinh viên và người làm ứng dụng vì sở thích cá nhân. Những tài khoản này sẽ không cần đóng phí đăng ký $25, đồng thời quy trình xác minh đơn giản hơn. Tuy nhiên, cũng sẽ có những giới hạn nghiêm ngặt số lượng thiết bị có thể cài đặt ứng dụng.

Cụ thể, người dùng phải cung cấp mã nhận dạng thiết bị duy nhất cho nhà phát triển. Sau đó, nhà phát triển phải cấp quyền thủ công trong Android Developer Console, khiến ứng dụng chỉ có thể phát hành cho một nhóm nhỏ, quen biết.

Ngăn chặn hành vi lạm dụng

Để chặn việc lợi dụng hệ thống, Google yêu cầu lập trình viên chứng minh quyền sở hữu gói ứng dụng bằng khóa ký chính xác. Những ai bị phát hiện phát tán mã độc sẽ bị khóa toàn bộ tài khoản, cấm mọi ứng dụng liên quan.

Google cũng khẳng định họ có các kỹ thuật riêng để phát hiện gian lận danh tính, bao gồm cả việc lọc ra những bản đăng ký giả mạo được AI tạo ra.

Dù có nhiều cải tiến, hệ thống mới vẫn khiến các cửa hàng ứng dụng tự do như F-Droid gặp khó. Đây là nơi tập trung nhiều app từ nhà phát triển độc lập, vốn không phụ thuộc vào máy chủ Google. Liệu Google có thể dung hòa lợi ích giữa bảo mật và tính mở, để mọi bên cùng hài lòng? Câu trả lời chỉ có thể chờ khi Android 16 ra mắt.