Google đã công bố một chính sách mới nhằm tăng cường bảo mật Android, yêu cầu tất cả ứng dụng Android được cài đặt trên các thiết bị đã phê duyệt phải liên kết được với danh tính nhà phát triển đã xác minh. Sáng kiến này hướng tới mục tiêu ngăn chặn làn sóng gia tăng các hoạt động lừa đảo tài chính và mã độc di động trên nền tảng.

Chính sách này dự kiến triển khai tại các khu vực rủi ro cao chọn lọc vào năm 2025 trước khi mở rộng ra toàn cầu. Nó mở rộng các quy trình kiểm tra danh tính vốn đã áp dụng trên Google Play cho bất kỳ ứng dụng nào phân phối qua các cửa hàng bên thứ ba hoặc cài đặt trực tiếp (sideloading).

Xác minh Nhà Phát Triển: Nền Tảng Cho An Toàn Ứng Dụng

Mục tiêu và Phạm vi Thực thi

Bằng cách ràng buộc mỗi gói phần mềm với pháp nhân đã tạo ra nó, Google đặt mục tiêu làm khó các tác nhân đe dọa. Điều này sẽ khiến việc tái xuất hiện dưới các bí danh mới sau khi bị gỡ bỏ trở nên khó khăn hơn đáng kể.

Đây là một chiến thuật thường thấy trong các hoạt động trojan ngân hàng và đánh cắp thông tin xác thực. Sự minh bạch về danh tính sẽ giúp truy vết và đối phó hiệu quả hơn với các mối đe dọa.

Cơ chế Xác minh Danh tính (KYC)

Mặc dù Google sẽ không thực hiện đánh giá nội dung cho các tệp nhị phân bên ngoài cửa hàng, họ sẽ yêu cầu nhà phát triển hoàn tất quy trình Know-Your-Customer (KYC). Quy trình này tương tự như kiểm tra ID tại sân bay.

Các tài liệu do chính phủ cấp và thông tin liên hệ sẽ được xác thực trước khi cấp một chứng chỉ nhà phát hành duy nhất. Điều này đảm bảo mỗi ứng dụng có một nguồn gốc rõ ràng.

Các ứng dụng được ký bằng khóa chưa được xác minh sẽ bị chặn cài đặt trên các thiết bị tham gia hệ sinh thái Google Mobile Services (GMS). Hiện tại, hệ sinh thái này bao gồm hơn 3.000 mẫu phần cứng được phân loại là “được chứng nhận”.

Động thái này dựa trên sáng kiến xác minh nhà phát triển năm 2023 của Google Play. Google cho rằng sáng kiến này đã giảm đáng kể các vụ lừa đảo mạo danh và sự cố đánh cắp dữ liệu bằng cách loại bỏ tính ẩn danh của các tác nhân xấu.

Tác động đến Hệ sinh thái và Chống Mã Độc Android

Ưu điểm Bảo mật và Quan điểm Chuyên gia

Các bên liên quan về an ninh đã tán thành quy định rộng hơn này. Liên đoàn Ngân hàng Brazil FEBRABAN gọi đây là một “tiến bộ đáng kể” cho việc bảo vệ người tiêu dùng.

Bộ Truyền thông Indonesia khen ngợi “cách tiếp cận cân bằng” của Google. Trong khi đó, Bộ Kinh tế Kỹ thuật số Thái Lan coi đây là một bước đi “chủ động”.

Liên minh Nhà phát triển toàn cầu bổ sung rằng kiểm soát danh tính phổ biến là “quan trọng” để duy trì lòng tin trong chuỗi cung ứng Android. Điều này củng cố lòng tin vào tính toàn vẹn của ứng dụng.

Thách thức đối với Tác nhân Đe dọa

Theo số liệu nội bộ được Google trích dẫn, mã độc gặp phải thông qua các lượt tải xuống ngẫu nhiên trên internet xuất hiện với tỷ lệ cao hơn 50 lần so với mã độc được tìm thấy trên Google Play. Điều này nhấn mạnh tầm quan trọng của chính sách mới trong việc tăng cường bảo mật Android.

Bằng cách chuyển một phần mô hình tin cậy sang trách nhiệm giải trình của nhà phát triển, Google nhằm phá vỡ hiện tượng “vòng đời vô hạn”. Đây là tình trạng các nhà phát hành độc hại liên tục tạo ra các chứng chỉ dùng một lần.

Các tác nhân đe dọa giờ đây sẽ phải đối mặt với chi phí vận hành cao hơn để làm giả giấy tờ tùy thân của chính phủ hoặc tuyển dụng lừa đảo tài chính (money mules). Điều này sẽ nâng cao rào cản gia nhập cho việc phân phối mã độc Android quy mô lớn.

Hỗ trợ Nhà Phát Triển và Duy trì Tính linh hoạt

Cổng Android Developer Console mới

Để giảm thiểu rắc rối cho các tổ chức phân phối bên ngoài Google Play, Google đang ra mắt một Android Developer Console chuyên dụng. Các tổ chức này bao gồm từ các tổ chức tài chính phân phối ứng dụng nội bộ đến các nhà cung cấp vận hành thị trường khu vực.

Cổng thông tin này phản ánh quy trình xác minh của Play Console nhưng bỏ qua các dịch vụ phân tích cửa hàng và thanh toán. Nó tập trung hoàn toàn vào xác thực danh tính, quản lý khóa và báo cáo trạng thái tuân thủ.

Một cấp tài khoản tinh gọn sẽ có sẵn cho sinh viên, những người có sở thích và người duy trì mã nguồn mở. Điều này công nhận hồ sơ rủi ro phi thương mại của họ nhưng vẫn đảm bảo khả năng truy vết, góp phần vào an ninh mạng chung.

Bảo mật Android và Trải nghiệm Người dùng

Từ góc độ kỹ thuật bảo mật, sự thay đổi này bổ sung cho các biện pháp phòng thủ thời gian chạy hiện có. Các biện pháp này bao gồm quét trên thiết bị của Play Protect và API chứng thực của SafetyNet, củng cố thêm bảo mật Android.

Điều quan trọng là công ty nhấn mạnh rằng quy định này không làm suy yếu tính linh hoạt của Android trong việc cài đặt ứng dụng từ bên ngoài (sideloading). Người dùng vẫn có thể tải phần mềm từ bất kỳ kênh nào, và nhà phát triển vẫn tự do vận hành cơ sở hạ tầng phân phối của riêng họ.

Tuy nhiên, trình cài đặt gói trên thiết bị và các cửa hàng bên thứ ba sẽ hiển thị hộp thoại chặn hoặc cảnh báo khi một tệp APK thiếu chữ ký hợp lệ, đã xác minh. Điều này sẽ điều chỉnh trải nghiệm người dùng với các lời nhắc “nhà phát triển không xác định” hiện có của Play.

Google có kế hoạch phát hành các chi tiết triển khai cụ thể, cập nhật API và thời gian thực thi trong những tháng tới. Thông tin chi tiết có thể được tìm thấy trên blog phát triển Android chính thức của Google tại đây.

Lộ trình Thực hiện và Khuyến nghị

Các nhà phát triển hiện đang hoạt động trên Google Play không cần thực hiện thêm hành động nào, vì trạng thái đã xác minh của họ sẽ tự động được truyền bá sang hệ sinh thái rộng lớn hơn.

Đối với những người khác, phiên bản truy cập sớm của console mới trước khi cửa sổ tuân thủ bắt buộc mang đến cơ hội đăng ký trước. Họ có thể tích hợp quy trình ký cập nhật và tránh gián đoạn phân phối vào phút chót.

Sáng kiến này nhấn mạnh quan điểm của Google rằng tính mở và bảo mật Android mạnh mẽ không hề loại trừ lẫn nhau. Thay vào đó, chúng có thể cùng tồn tại thông qua các biện pháp kiểm soát chặt chẽ về danh tính, mật mã và chính sách.