Google vừa công bố chi tiết về quy trình bảo mật mới dành cho việc cài đặt ứng dụng từ nguồn bên ngoài (sideloading) trên hệ điều hành Android. Thay đổi này buộc người dùng phải vượt qua nhiều bước xác thực phức tạp thay vì chỉ cần cấp quyền như trước đây. Theo kế hoạch, quy trình mới sẽ chính thức áp dụng từ tháng 8 năm 2026, nhằm ngăn chặn tình trạng tội phạm mạng dẫn dụ nạn nhân cài đặt mã độc.
Trước đó, Google dự định yêu cầu tất cả nhà phát triển phải xác minh danh tính mới được phép phân phối ứng dụng. Tuy nhiên, sau khi nhận phản hồi từ cộng đồng, hãng đã điều chỉnh chính sách để giữ lại không gian cho những người dùng am hiểu công nghệ và các lập trình viên nghiệp dư.
Quy trình cài đặt ứng dụng Android từ nguồn ngoài
Đối với người dùng phổ thông, khả năng cài đặt ứng dụng từ các nguồn không xác minh giờ đây sẽ nằm sau một hàng rào bảo mật nhiều lớp. Quy trình này bao gồm việc kích hoạt chế độ nhà phát triển trong phần cài đặt, xác nhận không bị người khác điều khiển hoặc hướng dẫn qua điện thoại, sau đó phải khởi động lại thiết bị. Việc khởi động lại máy nhằm mục đích ngắt mọi cuộc gọi hoặc kết nối từ xa mà kẻ lừa đảo có thể đang sử dụng để thao túng nạn nhân.
Điểm đáng chú ý nhất trong quy trình này là thời gian chờ thử thách kéo dài một ngày. Sau 24 giờ kể từ khi thực hiện các bước trên, người dùng cần xác nhận lại danh tính bằng vân tay, khuôn mặt hoặc mã PIN mới có thể bắt đầu cài đặt ứng dụng. Google cho phép người dùng mở khóa quyền này trong vòng 7 ngày hoặc vô thời hạn, nhưng các cảnh báo về rủi ro vẫn sẽ xuất hiện mỗi khi có ứng dụng mới được cài vào.
Cơ chế này được thiết kế dựa trên các nghiên cứu về tâm lý tội phạm. Theo báo cáo từ Liên minh Chống lừa đảo Toàn cầu (GASA), các đối tượng lừa đảo thường tạo ra sự hoảng loạn và thúc ép nạn nhân thao tác nhanh để cài mã độc. Việc bắt buộc phải chờ đợi và khởi động lại máy sẽ phá vỡ sự thúc ép này, tạo ra khoảng lặng cần thiết để người dùng tỉnh táo lại hoặc tìm kiếm sự trợ giúp.
Song song với việc siết chặt người dùng, Google cũng ra mắt loại tài khoản phân phối hạn chế dành riêng cho sinh viên và những người lập trình vì sở thích. Loại tài khoản này hoàn toàn miễn phí, không yêu cầu cung cấp giấy tờ tùy thân hay phí đăng ký. Đổi lại, nhà phát triển chỉ được phép chia sẻ ứng dụng cho tối đa 20 thiết bị. Đây là giải pháp giúp Android duy trì tính mở cho việc học tập và thử nghiệm mà không làm suy yếu hệ thống bảo mật chung.
Động thái này cho thấy nỗ lực của Google trong việc thắt chặt quyền kiểm soát hệ sinh thái Android. Dù vấp phải sự phản đối từ một số tổ chức quyền kỹ thuật số vì lo ngại ảnh hưởng đến quyền tự do của người dùng, Google khẳng định đây là bước đi tất yếu để bảo vệ khách hàng trước các đợt tấn công kỹ thuật xã hội ngày càng tinh vi.
Hiện tại, các nhà phát triển đã có thể đăng ký tham gia sớm quy trình xác minh danh tính. Toàn bộ hệ thống xác thực mới và các loại tài khoản hạn chế sẽ đi vào hoạt động ổn định trước khi các quy định khắt khe hơn về phân phối ứng dụng có hiệu lực vào cuối năm nay.
