Vào thứ Năm, Google đã công bố một "quy trình nâng cao" mới cho việc sideload ứng dụng Android, yêu cầu thời gian chờ bắt buộc 24 giờ để cài đặt các ứng dụng từ các nhà phát triển chưa được xác minh, nhằm cân bằng giữa tính mở và sự an toàn.
Những thay đổi mới này được đưa ra trong bối cảnh yêu cầu xác minh nhà phát triển mà gã khổng lồ công nghệ đã công bố vào năm ngoái, theo đó tất cả các ứng dụng Android phải được đăng ký bởi các nhà phát triển đã xác minh để được cài đặt trên các thiết bị Android đã được chứng nhận. Động thái này, theo Google, nhằm mục đích phát hiện các đối tượng xấu nhanh hơn và ngăn chặn chúng phát tán malware.
Điều này cũng bao gồm các kịch bản tiềm ẩn khi tội phạm mạng lừa người dùng không nghi ngờ gì sideload các ứng dụng như vậy để cấp cho chúng các đặc quyền nâng cao, giúp chúng có thể tắt Play Protect, tính năng chống malware được tích hợp trong tất cả các thiết bị Android được Google chứng nhận.
Tuy nhiên, các yêu cầu đăng ký bắt buộc đã gặp phải sự chỉ trích từ hơn 50 nhà phát triển ứng dụng và các chợ ứng dụng, bao gồm F-Droid, Brave, The Electronic Frontier Foundation, Proton, The Tor Project, Vivaldi. Họ cho rằng những yêu cầu này có nguy cơ tạo ra sự ma sát và rào cản gia nhập, đồng thời gây ra lo ngại về quyền riêng tư và giám sát do thiếu rõ ràng về thông tin cá nhân mà nhà phát triển phải cung cấp, cách dữ liệu này sẽ được lưu trữ, bảo mật và sử dụng, cũng như liệu dữ liệu có thể bị yêu cầu bởi chính phủ hoặc các quy trình pháp lý hay không.
Quy trình nâng cao mới để sideload ứng dụng
Để giải quyết một số vấn đề nan giải này, Google đã nhấn mạnh rằng quy trình nâng cao mới được phát triển cho phép người dùng có kinh nghiệm duy trì khả năng sideload ứng dụng từ các nhà phát triển chưa được xác minh thông qua một quy trình thực hiện một lần, yêu cầu họ làm theo các bước dưới đây:
- Bật developer mode trong cài đặt hệ thống.
- Xác nhận rằng họ đang thực hiện bước này một cách tự nguyện và không bị hướng dẫn.
- Khởi động lại điện thoại và xác thực lại để ngăn chặn kẻ lừa đảo theo dõi hành động của người dùng.
- Chờ trong khoảng thời gian 24 giờ và xác nhận rằng họ thực sự đang thực hiện thay đổi này bằng biometric authentication hoặc device PIN.
- Cài đặt ứng dụng từ các nhà phát triển chưa được xác minh sau khi người dùng hiểu rõ rủi ro, có thể là vô thời hạn hoặc trong thời gian bảy ngày.
"Trong khoảng thời gian 24 giờ đó, chúng tôi nghĩ rằng những kẻ tấn công sẽ khó duy trì cuộc tấn công của chúng hơn nhiều," ông Sameer Samat, Chủ tịch Hệ sinh thái Android, đã được trích lời trên Ars Technica rằng. "Trong thời gian đó, bạn có thể nhận ra rằng người thân của bạn không thực sự bị giam giữ hay tài khoản ngân hàng của bạn không thực sự bị tấn công."
Google cũng cho biết họ có kế hoạch cung cấp "limited distribution accounts" miễn phí, cho phép các nhà phát triển nghiệp dư và sinh viên chia sẻ ứng dụng với tối đa 20 thiết bị mà không cần phải "cung cấp ID do chính phủ cấp hoặc trả phí đăng ký".
Cần lưu ý rằng quy trình nói trên không áp dụng cho các cài đặt thông qua Android Debug Bridge (ADB). "Limited distribution accounts" cho sinh viên và những người có sở thích, cũng như "advanced flow" cho người dùng, sẽ có hiệu lực vào tháng 8 năm 2026, trước khi các yêu cầu xác minh nhà phát triển mới có hiệu lực vào tháng sau đó.
"Chúng tôi biết rằng phương pháp 'một kích thước phù hợp với tất cả' không hiệu quả cho hệ sinh thái đa dạng của chúng tôi," Google cho biết. "Chúng tôi muốn đảm bảo rằng việc xác minh danh tính không phải là rào cản gia nhập, vì vậy chúng tôi đang cung cấp các lộ trình khác nhau để phù hợp với nhu cầu cụ thể của bạn."
Các mối đe dọa malware Android mới
Sự phát triển này trùng hợp với sự xuất hiện của một malware Android mới có tên là Perseus đang tích cực nhắm mục tiêu vào người dùng ở Thổ Nhĩ Kỳ và Ý với mục đích thực hiện Device Takeover (DTO) và gian lận tài chính.
Trong bốn tháng qua, ít nhất 17 họ malware Android đã được phát hiện trong thực tế. Chúng bao gồm FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, Arsink (và biến thể cải tiến SURXRAT của nó), deVixor, Phantom, Massiv, PixRevolution, TaxiSpy RAT, BeatBanker, Mirax, và Oblivion RAT.
