Google Áp Dụng Lệnh Chờ 24 Giờ Khi Cài File APK Nhằm Chặn Đứng Mã Độc Lừa Đảo

Trong nỗ lực cân bằng giữa sự tự do của hệ điều hành mở và an toàn cho người dùng, Google vừa chính thức công bố quy trình "Advanced Flow" (Luồng nâng cao) nhằm thắt chặt việc cài đặt ứng dụng từ các nguồn không xác định.

Luật chơi mới: Chờ đợi hoặc từ bỏ

Từ trước đến nay, việc cài một file APK trôi nổi chỉ tốn của bạn vài giây. Nhưng giờ đây, Google đã thiết lập một rào cản tâm lý và kỹ thuật khổng lồ đối với các ứng dụng không có chữ ký điện tử của nhà phát triển đã xác minh:

• Cảnh báo trực diện: Khi bạn cố gắng cài đặt một ứng dụng chưa được xác minh, màn hình sẽ hiển thị những lời cảnh báo cực kỳ cứng rắn và thẳng thắn về nguy cơ lừa đảo.

• Án binh bất động 24 giờ: Nếu bạn kiên quyết bấm chọn "Tiếp tục", hệ thống sẽ không cho phép cài đặt ngay. Thay vào đó, nó kích hoạt một "thời gian làm mát" (cooling-off period) bắt buộc kéo dài đúng 24 giờ đồng hồ.

• Khởi động lại sinh tử: Sau khi hết thời gian chờ 24 giờ, bạn bắt buộc phải khởi động lại thiết bị (reboot) thì mới có thể tiến hành cài đặt ứng dụng đó vào máy.

Tại sao Google lại làm gắt đến vậy?

Sự thay đổi này không nhằm mục đích gây khó dễ, mà là một liều thuốc đắng dã tật cho thực trạng an ninh mạng hiện nay:

• Chặn đứng sự bốc đồng: Rất nhiều nạn nhân bị kẻ gian gọi điện thao túng tâm lý và ép tải các app ngân hàng giả mạo có chứa mã độc hòng vô hiệu hóa hệ thống bảo mật Play Protect. Khoảng thời gian chờ 24 giờ sẽ bẻ gãy hành vi "nhắm mắt cài bừa" trong lúc hoảng loạn, giúp nạn nhân có đủ thời gian để bình tĩnh và nhận ra mình đang bị lừa.

• Đối phó với làn sóng mã độc mới: Sự trỗi dậy của các dòng mã độc nguy hiểm như Perseus (chuyên nhắm vào người dùng để lừa đảo tài chính tại Ý và Thổ Nhĩ Kỳ) đã buộc Google phải hành động quyết liệt để bảo vệ hệ sinh thái.

Lối thoát nào cho các nhà phát triển chân chính?

Nhiều chuyên gia và nhà hoạt động bảo mật lo ngại quy định này sẽ bóp nghẹt các nhà phát triển nhỏ lẻ hoặc dấy lên lo ngại về quyền riêng tư. Tuy nhiên, Google đã chừa sẵn những con đường hợp pháp:

• Cấp khóa chữ ký số: Bất kỳ lập trình viên nào (dù không đưa app lên Google Play) đều có thể đăng ký danh tính với Google để nhận khóa chữ ký số. Các ứng dụng đã được ký xác nhận này sẽ vượt qua rào cản 24 giờ một cách mượt mà, không gặp trở ngại nào.

• Tài khoản phân phối giới hạn miễn phí: Nhằm hỗ trợ những người lập trình vì sở thích (hobbyist) mà không muốn vướng vào các thủ tục định danh khắt khe, Google đã ra mắt loại tài khoản phân phối đặc biệt để họ vẫn có thể chia sẻ ứng dụng của mình.

Việc cài đặt ứng dụng Android từ giờ sẽ không còn là một cú click chuột vô tư nữa. Sự phiền phức này chính là một rào chắn sống còn để bảo vệ thiết bị và tài khoản ngân hàng của bạn trong kỷ nguyên mã độc bủa vây.

Hương - Theo TheHackerNews