Google chính thức công bố cơ chế bảo mật nhiều lớp áp dụng cho quá trình sideloading APK trên Android, theo đó bất kỳ người dùng nào muốn cài ứng dụng từ nguồn bên ngoài kho Play Store đều phải trải qua thời gian chờ bắt buộc 24 giờ kết hợp xác thực sinh trắc học, với lộ trình triển khai chính thức được ấn định vào tháng 8 năm 2026 nhằm cắt đứt chuỗi thao túng tâm lý mà tội phạm mạng thường dùng để cài mã độc lên thiết bị nạn nhân.
Điểm khác biệt lớn nhất so với cơ chế cũ nằm ở chiều sâu của các bước xác nhận. Trước khi được phép tải xuống bất kỳ file APK nào từ nguồn không xác minh, người dùng phải tự tay bật chế độ nhà phát triển trong phần cài đặt hệ thống, sau đó xác nhận rằng bản thân đang hành động độc lập, không bị ai hướng dẫn hay kiểm soát từ xa qua điện thoại. Tiếp theo, thiết bị bắt buộc phải khởi động lại hoàn toàn, bước này không mang tính tượng trưng mà có mục đích kỹ thuật rõ ràng: cắt đứt mọi kết nối điều khiển từ xa mà kẻ gian có thể đang duy trì song song trong quá trình lừa nạn nhân.
Khoảng thời gian chờ 24 giờ sau đó mới là lõi cứng của toàn bộ cơ chế. Khi đồng hồ đủ một ngày, người dùng phải xác thực danh tính một lần nữa bằng vân tay, nhận diện khuôn mặt hoặc mã PIN thiết bị trước khi quá trình cài đặt thực sự được bắt đầu. Thiết kế này bắt nguồn từ các nghiên cứu về hành vi tội phạm của Liên minh Chống lừa đảo Toàn cầu (GASA), vốn chỉ ra rằng các cuộc tấn công kỹ thuật xã hội luôn dựa vào sự hoảng loạn và áp lực thời gian để khiến nạn nhân hành động trước khi kịp suy nghĩ. Một khoảng dừng bắt buộc, kết hợp với việc máy phải khởi động lại, đủ sức phá vỡ vòng kiểm soát tâm lý đó và tạo ra cửa sổ để người dùng tỉnh táo hoặc tìm đến sự hỗ trợ.
Với những ai cần sideloading thường xuyên, Google cho phép mở khóa quyền này trong khoảng thời gian 7 ngày hoặc kéo dài vô thời hạn. Tuy nhiên, cảnh báo về rủi ro sẽ tiếp tục xuất hiện với mỗi lần cài đặt mới, đảm bảo người dùng không bao giờ xem hành động này là điều hiển nhiên.
Thay đổi chính sách này cũng liên quan đến một quyết định trước đó mà Google đã phải điều chỉnh. Ban đầu, hãng dự kiến yêu cầu tất cả nhà phát triển xác minh danh tính mới được quyền phân phối ứng dụng. Sau khi làn sóng phản đối từ cộng đồng lập trình viên và các tổ chức quyền kỹ thuật số nổi lên, Google đã tìm ra hướng dung hòa bằng cách giới thiệu loại tài khoản phân phối hạn chế dành riêng cho sinh viên và lập trình viên nghiệp dư. Tài khoản này không thu phí, không đòi hỏi giấy tờ tùy thân, nhưng giới hạn phạm vi chia sẻ ứng dụng ở mức tối đa 20 thiết bị. Đây là lối thoát hợp lý giúp Android giữ được tính mở vốn có cho mục đích học tập và thử nghiệm, trong khi không mở rộng cửa cho các tác nhân độc hại.
Dù vậy, một số tổ chức vẫn bày tỏ lo ngại rằng những rào cản ngày càng dày đặc này sẽ bào mòn quyền tự chủ của người dùng đối với thiết bị của chính họ. Google chưa nhượng bộ trước luồng ý kiến đó, khẳng định rào cản kỹ thuật là phản ứng tất yếu trước làn sóng tấn công kỹ thuật xã hội tinh vi đang leo thang.
Hiện tại, các nhà phát triển quan tâm đã có thể đăng ký tham gia sớm chương trình xác minh danh tính. Toàn bộ hệ thống xác thực mới, bao gồm tài khoản phân phối hạn chế, dự kiến vận hành ổn định trước thời điểm các quy định phân phối ứng dụng nghiêm ngặt hơn có hiệu lực vào cuối năm 2026.
