Google จำกัดการไซด์โหลดบน Android

จริง ๆ แล้วถ้าใส่แค่ "ระบบผู้ลงนามที่เชื่อถือได้" สำหรับการไซด์โหลด แล้วเปิดให้ผู้รับรองบุคคลที่สามอย่าง DigiCert ใช้งาน ก็ยังพอตรวจสอบได้อย่างน้อยว่าเป็น APK ที่เชื่อถือได้หรือไม่ ปัญหาคือ Google ทำระบบนี้ให้ไปผูกอยู่กับ Play Store แทน แต่ถ้าถามว่า Google Play Store จับแอปอันตรายได้ดีไหม ก็คงต้องบอกว่าไม่แน่ใจนัก และแอปที่ขัดกับนโยบายของ Google Play ก็.......

แม้ตัวบทความเองจะดูมีเจตนาที่น่าสงสัย แต่ก็เป็นความจริงว่าพอใช้งานจริงมันเริ่มน่ารำคาญขึ้นเรื่อย ๆ
ตอนนี้แม้แต่อุปกรณ์ Galaxy ก็ถูกทำให้ปิดฟีเจอร์อย่างการบล็อกแอปที่สงสัยว่าเป็นอันตรายไม่ได้แล้วครับ
แม้จะมีวิธีเลี่ยงอยู่ แต่ก็กำลังค่อย ๆ เพิ่มข้อจำกัดแบบนี้มากขึ้นเรื่อย ๆ
สำหรับผู้ใช้ทั่วไปที่แทบไม่ใช้ sideloading และได้ประโยชน์จากการป้องกันไม่ให้รันมัลแวร์ มันอาจเป็นฟีเจอร์ที่ดี แต่ อย่างน้อยก็ควรทำให้ปิดได้ไม่ใช่หรือครับ?

เดิมทีผมอยากให้ Pixel วางขายอย่างเป็นทางการ แต่ถ้า Google ก็ทำอะไรแบบเดียวกัน...

ความเห็นจาก Hacker News

• มีการแสดงความรู้สึกว่าการลงบล็อกโพสต์ในช่วงเวลานี้ดูแปลกมาก จึงตั้งข้อสงสัยว่าอาจเป็นบทความที่เตรียมไว้ตั้งแต่หลายเดือนก่อนแล้วเพิ่งนำมาเผยแพร่ พร้อมแชร์ข้อเท็จจริงว่าโปรแกรมนำร่องนี้ถูกประกาศในสิงคโปร์ตั้งแต่ 1 ปี 4 เดือนก่อน ครอบคลุมเฉพาะแอปที่ต้องใช้สิทธิ์บางอย่าง เช่น RECEIVE_SMS, READ_SMS, BIND_NOTIFICATIONS, สิทธิ์การช่วยการเข้าถึง และมีผลเฉพาะแอปที่ดาวน์โหลดตรงจากนอกแอปสโตร์เท่านั้น โดยการติดตั้งผ่าน F-Droid หรือ adb ยังถือว่าไปในทิศทางที่ดี นอกจากนี้ยังให้ข้อมูลว่าสามารถพยายามเลี่ยงได้ด้วยการปิด Play Protect แต่ผู้แสดงความเห็นก็ไม่แน่ใจว่าทำได้จริงในสิงคโปร์หรือไม่ ที่น่าสนใจคือ Google ป้องกันไม่ให้ปิด Play Protect ระหว่างกำลังคุยโทรศัพท์อยู่ ซึ่งได้รับคำชมว่าเป็นการตัดสินใจที่ฉลาด และยังมีการอ้างคำประกาศของตำรวจสิงคโปร์ที่ระบุว่าวิธีนี้ไม่ได้ผลในทางปฏิบัติมากนัก โดยยกตัวอย่างว่าผู้เสียหายถูกชี้นำให้ปิด Google Play Protect ก่อนติดตั้งไฟล์ APK และแม้แต่ติดตั้งแอป VPN เพื่อให้มิจฉาชีพหลบเลี่ยงเทคโนโลยีป้องกันของธนาคารได้ พร้อมแนบลิงก์อธิบายกรณีดังกล่าว (https://police.gov.sg/media-room/news/…)

  • มีการกล่าวถึงข้อมูลที่ชี้ว่าชาวสิงคโปร์เปราะบางต่อการหลอกลวงเป็นพิเศษ โดยปีที่แล้วมีผู้เสียหายหลายหมื่นคน สูญเงินรวม 1.1 พันล้านดอลลาร์สิงคโปร์ ซึ่งเพิ่มขึ้น 70% จากปีก่อนหน้า และจากสถิติของ Global Anti-Scam Alliance ผู้แสดงความเห็นยังแชร์ประสบการณ์ว่าความเสียหายจริงน่าจะมากกว่าตัวเลขที่มีการแจ้งไว้ พร้อมอธิบายว่าทำไมสิงคโปร์จึงตกเป็นเป้าหมาย โดยโยงกับความมั่งคั่ง ความเป็นดิจิทัล และวัฒนธรรมการปฏิบัติตามกฎระเบียบ (https://archive.is/fCmW1)

  • มีความเห็นว่าไม่ชัดเจนว่าทำไมบทความในบล็อกของ Purism จึงออกมาตอนนี้ และมองว่าเป็นเพียง FUD ทางการตลาดเท่านั้น พร้อมพูดถึง Librem 5 และ Liberty Phones ที่ใช้ PureOS โดยตรง และตั้งข้อสงสัยว่ารัน APK ได้หรือไม่ อีกทั้งเสริมว่ามีเพียง Sailfish ที่ให้ความสามารถแบบนี้ แต่ก็เป็นกรณียกเว้นจากปัญหาเรื่องไลเซนส์ แม้จะยอมรับว่า Purism ลงทุนมากกับการพัฒนา Linux แบบสัมผัสอย่าง Phosh แต่ก็เน้นย้ำว่าสภาพแวดล้อม Linux แบบสัมผัสยังย่ำแย่มาก และมองว่าบทความนี้ตั้งใจใช้การพรรณนาทางเลือกกระแสหลักในแง่ลบเพื่อทำการตลาดให้สินค้าของตัวเอง ทั้งที่ไม่ได้รับผลกระทบโดยตรง

  • มีการเสนอว่าการแยกช่วงเวลาก่อนและหลังที่ Google แพ้คดีเกี่ยวกับ App Store เป็นประเด็นสำคัญ พร้อมเน้นว่าการหาสมดุลระหว่างการให้ผู้ใช้ได้รับการปกป้องและยังคงมีเสรีภาพนั้นยากมาก อีกทั้งกล่าวถึงปรากฏการณ์ที่ผู้ใช้ชินกับคำเตือนด้านความปลอดภัยจนสุดท้ายก็ละเลยไป และชี้ว่าแม้แต่ Play Store ก็ยากจะถือว่าปลอดภัยอย่างสมบูรณ์ โดยยกกรณีข้อมูล GPS ของผู้ใช้ Android ที่เผยแพร่ออกมาเพื่ออ้างถึงพฤติกรรมไม่พึงประสงค์ของแอปทางการ สุดท้ายมองว่าทางออกคือการให้บุคคลที่สามที่ฉลาดและเชื่อถือได้มีสิทธิ์ผู้ดูแลอุปกรณ์เพื่อช่วยเหลือผู้ใช้กลุ่มเปราะบาง

• มีความเห็นว่าบทความนี้ให้ความรู้สึกใกล้เคียงกับโฆษณา Purism มากกว่าจะมีเนื้อหาหนักแน่น

  • มีความเห็นว่าทันทีที่รู้ว่าเป็นโฆษณา ก็ถือว่าเนื้อหาทั้งหมดไร้ความหมาย และขอให้มีลิงก์ที่ดีกว่านี้

  • จากจำนวนโหวตขึ้น ผู้แสดงความเห็นคิดว่าหลายคนกังวลกับทิศทางของ Android และสนใจทางเลือกอื่น

• มีการตั้งข้อสงสัยว่าประเด็นนี้ไม่ใช่เรื่องตั้งแต่ปี 2024 แล้วหรือ (https://techcrunch.com/2024/02/…)

• มีคำอธิบายเกี่ยวกับโปรแกรมนำร่องที่เริ่มใช้ในสิงคโปร์ว่า จะบล็อกเฉพาะกรณีติดตั้งแอปที่ขอสิทธิ์บางอย่าง เช่น SMS หรือการช่วยการเข้าถึง ผ่านเว็บเบราว์เซอร์/เมสเซนเจอร์/ตัวจัดการไฟล์เท่านั้น จึงมองว่ายังมีเงื่อนไขยิบย่อยมากจนผู้ใช้ระดับสูงน่าจะยังติดตั้งแอปที่ต้องการได้อยู่ และวิเคราะห์ว่ามาตรการนี้ตั้งใจทำให้ผู้ใช้ทั่วไปติดตั้งแอป sideload ที่มีความเสี่ยงสูงซึ่งขอสิทธิ์ SMS/การช่วยการเข้าถึงได้ยากขึ้น พร้อมย้ำว่าเป็นมาตรการที่ทำร่วมกับ Singapore Cyber Security Agency เพื่อป้องกันการหลอกลวงและมัลแวร์ จึงอธิบายได้ว่าทำไมจึงใช้เฉพาะในสิงคโปร์

  • มีการชี้ว่าข้อจำกัดแบบนี้อาจทำงานในเชิงต่อต้านการแข่งขันในตลาดแมสได้จริง แม้คนส่วนน้อยที่เชี่ยวชาญเทคนิคจะยังติดตั้งได้ แต่คนส่วนใหญ่ก็จะถูกทิ้งให้อยู่ใน “รั้ว” ที่ Google ควบคุม และยังเน้นว่า Google หรือ Apple ใช้ภาษาทำนองข่มขู่ผู้ใช้เกี่ยวกับแอปของบุคคลที่สามเพื่อสร้างกำแพงทางจิตวิทยาเพิ่มด้วย โดยมองว่านี่คือ “การควบคุมความคิด” ที่ควรถูกกำจัดด้วยกฎระเบียบ

  • มีการย้ำว่าเหตุผลว่า “จำกัดแค่สิงคโปร์” ไม่ใช่สิ่งที่ทำให้อุ่นใจนัก และมองว่าเบราว์เซอร์หรือโปรแกรมจัดการไฟล์ก็เป็นเพียงช่องทางย้ายไฟล์ธรรมดา จึงไม่ค่อยเชื่อถือเงื่อนไขนี้เท่าไร

  • มีการวิเคราะห์ว่าตราบใดที่ยังไม่ถึงขั้นบล็อก ADB การเรียกมาตรการนี้ว่า “บล็อก sideloading” ก็ยังไม่แม่นยำนัก และท้ายที่สุดการหาสมดุลระหว่างการปกป้องผู้ใช้จากมัลแวร์กับการรับประกันเสรีภาพในการติดตั้งแอปที่ต้องการยังเป็นสิ่งจำเป็น

  • มีการแชร์ความทรงจำว่าเคยต้องเชื่อมต่อกับ SingPass ซึ่งเป็นระบบยืนยันตัวตนดิจิทัลระดับชาติ ตอนทำธุรกิจกับลูกค้าในสิงคโปร์ และแม้ตอนนี้จะไม่ใช่ลูกค้าแล้ว แต่โค้ดนั้นก็คงยังหลงเหลืออยู่ที่ไหนสักแห่งใน codebase

  • มีความเห็นว่าเมื่อเพิ่มภูมิภาคอื่นได้ทุกเมื่อ ก็ไม่ควรชะล่าใจเพียงเพราะตอนนี้จำกัดแค่สิงคโปร์ และเสนอว่าทางเลือกที่ดีกว่าคือ Google ควรเดินหน้าไปสู่เทคนิคมอบ “สิทธิ์ปลอม” ให้แอป ไม่เช่นนั้นอาชญากรก็จะหาวิธีอื่นมาเลี่ยงอยู่ดี

• มีการกล่าวถึงข้ออ้างในคอมเมนต์ว่า “เรื่อง sideloading แก้ได้ด้วยการติดตั้ง GrapheneOS” พร้อมชี้ว่านี่เป็นคำตอบที่ห่างไกลจากผู้ใช้ทั่วไปมาก โดยเตือนว่าแม้ผู้ใช้ HN จะถึงขั้นทำ hardware debugging ได้ แต่คนส่วนใหญ่ไม่สามารถจัดการการตั้งค่าระดับระบบแบบนั้นได้

  • มีการแชร์ประสบการณ์ว่าเคยตกใจในฟอรัม Linux เพราะมีคำตอบที่มองว่าการใช้ CLI ซับซ้อนเป็นเรื่องปกติ และชี้ว่ามุมมองที่เอนเอียงของกลุ่มผู้เชี่ยวชาญอาจขัดขวางการเผยแพร่และการยอมรับในวงกว้างสำหรับผู้เริ่มต้นที่ต้องการวิธีแก้ที่สั้นและง่าย

  • มีการวินิจฉัยว่าคนส่วนใหญ่มักไม่เข้าใจ “ประสบการณ์แบบเฉลี่ย” ของผู้ใช้จริง และในชุมชนผู้เชี่ยวชาญ ความบิดเบี้ยวของมุมมองนี้ยิ่งรุนแรงขึ้น จนได้ความเห็นที่ห่างไกลจากชีวิตจริงของผู้ใช้ส่วนใหญ่

  • มีการวิเคราะห์ว่าคนทั่วไปมักไม่ทำ sideloading และหลังจากติดตั้งแอปที่ต้องการแล้ว ก็มักใช้งานซ้ำแอปเดิมต่อไปเรื่อย ๆ

  • มีการชี้ว่าคนทั่วไปไม่สามารถแยกแยะได้ว่าแอป sideload ที่ขอสิทธิ์ SMS หรือการช่วยการเข้าถึงนั้นน่าเชื่อถือหรือไม่ ดังนั้นจุดประสงค์หลักของการบล็อกฟีเจอร์เช่นนี้ก็คือ “ป้องกันการใช้งานผิดของคนทั่วไป”

  • มีความกังวลว่าเมื่อ Google เพิ่มเทคโนโลยี DRM และ API มากขึ้น แม้แต่การติดตั้ง GrapheneOS ก็จะไม่เป็นทางเลือกที่ใช้งานได้จริงในอนาคต และเมื่อถึงจุดนั้น ผู้ที่ต้องการใช้ระบบปฏิบัติการทางเลือกอาจจำเป็นต้องออกจาก ecosystem ของ Android ไปเลย

• ผู้แสดงความเห็นยอมรับว่าเดิมทีตนยึดแนวคิดว่า “ในเมื่อเป็นเจ้าของโทรศัพท์ ก็อยากทำอะไรก็ได้อย่างอิสระ” แต่กลับตกใจเมื่อพบว่า DJI บังคับให้ผู้ใช้ sideload แอปเมื่อใช้งานโดรนและ Air Units พร้อมอธิบายว่าเหตุผลที่ DJI เอาแอปขึ้น Play Store ไม่ได้ เป็นเพราะแอปสามารถดัดแปลงโค้ดของตัวเองได้ และเตือนถึงความเสี่ยงว่าหากเกิดความขัดแย้งทางการเมือง มัลแวร์ที่อยู่ภายใต้การควบคุมของรัฐอาจเข้ามาควบคุมโดรนได้ตามใจ พร้อมย้ำว่ามีผู้คนนับล้านติดตั้งแอปนี้โดยไม่ตระหนักถึงสถานการณ์อย่างแท้จริง

  • มีการโต้ว่าแนวทางแก้ปัญหานี้ไม่ใช่การแกล้งทำเป็นตรวจมัลแวร์ของ Google แต่ควรเป็นการเพิ่มเครื่องมือควบคุมสิทธิ์และความสามารถที่แอป DJI ทำได้จริงให้เข้มงวดยิ่งขึ้น และมองว่าแรงจูงใจหลักของ Google แท้จริงแล้วไม่ใช่ “ความปลอดภัย” แต่คือการขยายอำนาจควบคุม

  • ในบริบทนี้ มีผู้เชื่อว่าเสรีภาพแบบ “อยากทำอะไรก็ได้ตามใจ” ควรครอบคลุมถึงซอฟต์แวร์ด้วย โดยมองว่าข้อเรียกร้องของ Richard Stallman เมื่อปี 1988 เรื่อง “เสรีภาพในการรับซอร์สมาแก้เอง” ยังร่วมสมัยอยู่จนถึงทุกวันนี้ และคร่ำครวญว่าความเป็นจริงกลับกำลังเดินไปในทิศทางที่ซอฟต์แวร์ควบคุมผู้ใช้แทน พร้อมย้ำว่าหากรัฐบาลเข้าควบคุมโค้ดซอฟต์แวร์ ก็จะก่อความเสี่ยงที่ร้ายแรงยิ่งกว่าการละเมิดสิทธิผู้บริโภค

  • มีการวิเคราะห์ว่าในความเป็นจริง รัฐบาลแต่ละประเทศได้ฝังความสามารถแบบนี้เข้ามาอยู่แล้วผ่าน OEM และการบล็อก sideloading ก็เพียงทำให้แฮ็กเกอร์สามารถขัดขวางไม่ให้ผู้ใช้ปิดมัลแวร์ฝังตัวเหล่านั้นได้เท่านั้น

  • มีการยกตัวอย่างว่าแอปดัดแปลงตัวเองไม่ใช่เรื่องมีนัยสำคัญมากนัก เพราะหากฝังเอนจิน V8 ไว้ในแอป ก็สามารถเปลี่ยนโค้ดได้อยู่แล้ว และชี้ให้เห็นความย้อนแย้งที่ Google กลับไม่ถือว่าวิธีแบบนี้เป็นปัญหา

  • มีการตั้งข้อสงสัยว่าไม่เข้าใจว่าทำไมคอมเมนต์ต้นทางที่เตือนถึงความเสี่ยงของแอปโดรน DJI ถึงถูกโหวตลง โดยยกกรณีล่าสุดที่พบ kill switch จริงในแผงโซลาร์เซลล์จากจีนเป็นตัวอย่าง เพื่อสนับสนุนข้อกล่าวหาว่าบริษัทจีนที่ใกล้ชิดรัฐบาลอาจใส่ฟังก์ชันน่าสงสัยลงในฮาร์ดแวร์และซอฟต์แวร์ของตนได้ (https://reuters.com/sustainability/climate-energy/…, https://rickscott.senate.gov/2025/6/…)

• มีความเห็นว่าการติดตั้ง GrapheneOS สามารถแก้ข้อจำกัดเรื่อง sideloading ได้ แต่ช่วงนี้ Google มีแนวโน้มเพิ่มความเข้มข้นในการใช้ Play Integrity API เพื่อจำกัดให้ฟังก์ชันของแอปทำงานได้เฉพาะเมื่อมาจากการติดตั้งผ่าน Play Store และชี้ว่าแม้จะใช้ Play Store บน GrapheneOS พร้อมล็อก bootloader แล้ว Google ก็ยังปิดกั้นการใช้ hardware attestation API ทำให้แอปธนาคาร, Google Wallet และฟังก์ชันอื่น ๆ ใช้งานไม่ได้ พร้อมวิจารณ์ว่า Google ยอมปล่อยผ่าน vendor ห่วย ๆ ที่ออกอัปเดตความปลอดภัยช้า แต่กลับกีดกันโอเพนซอร์ส OS ที่มีความปลอดภัยยอดเยี่ยม และมองว่าการอ้างความร่วมมือกับ Singapore Cyber Security Agency ก็เป็นเพียงข้ออ้างเชิงความชอบธรรมเท่านั้น อีกทั้งตั้งคำถามว่าทำไมแอปอย่าง Facebook/Instagram จึงไม่ถูกเพิ่มเข้าไปในรายการที่ควรถูกบล็อกด้วย (https://localmess.github.io, https://grapheneos.social/@GrapheneOS/112878070618462132)

  • มีความเห็นว่า Google ยอมรับแนวปฏิบัติด้านความปลอดภัยที่หละหลวมจากผู้อื่น เพราะเป้าหมายที่แท้จริงไม่ใช่ความปลอดภัย แต่คือการควบคุมล้วน ๆ

  • มีข้อชี้ว่าปัญหาใหญ่ที่สุดของ GrapheneOS คือรองรับอุปกรณ์น้อยเกินไป และจำเป็นต้องมีทางเลือกที่ไม่ผูกติดกับฮาร์ดแวร์เฉพาะราย แต่ยังรักษาระดับความปลอดภัยไว้ได้พอสมควร

  • Android key attestation API รองรับบน GrapheneOS ด้วย และนักพัฒนาสามารถรวมเข้ากับระบบได้ (https://grapheneos.org/articles/attestation-compatibility-guide)

  • มีการบอกว่าคำตอบโดยตรงต่อข้ออ้างว่าแค่ติดตั้ง GrapheneOS ก็จบ นั้นมีคนอธิบายไว้แล้ว จึงแนบลิงก์อ้างอิงให้ดู (https://news.ycombinator.com/item?id=32496220)

• มีความกังวลว่ามาตรการนี้จะกระทบชุมชนผู้พิการทางสายตาอย่างรุนแรง ในประเทศที่ Android ได้รับความนิยมและ iPhone มีราคาแพง โปรแกรมอ่านหน้าจอ Commentary (Jieshuo) ถือเป็นทางเลือกที่ดีกว่า TalkBack แต่เป็นแอปจากนักพัฒนารายย่อยชาวจีน จึงไม่ได้อยู่ใน Play Store และแอปประเภทนี้ต้องขอสิทธิ์กว้างมากเพื่ออ่านทั้งหน้าจอและควบคุม UI ของระบบ ดังนั้นหากการเข้าถึงแอปอ่อนไหวถูกบล็อก จุดประสงค์ของมันในฐานะ screen reader ก็จะหมดความหมายไปตั้งแต่ต้น พร้อมวิจารณ์ว่าแม้พนักงาน Google อาจบอกว่าไม่ใช่ปัญหาเพราะมีสัดส่วนใช้งานต่ำในสถิติของ Webaim แต่ Webaim เก็บตัวอย่างจากผู้ใช้รายได้สูงในประเทศที่ใช้ภาษาอังกฤษเป็นหลัก จึงไม่อาจเป็นตัวแทนพฤติกรรมการใช้งานทั่วโลกได้ (https://webaim.org/projects/screenreadersurvey10/)

• มีความเห็นว่าความตั้งใจเชิงออกแบบนี้กลับดูสมเหตุสมผลและเป็นเรื่องสามัญสำนึก แม้ยังติดตั้งมัลแวร์ผ่าน ADB ได้ แต่กำแพงการเข้าถึงสูงขึ้นจึงทำหน้าที่เหมือนเนินชะลอความเร็วสำหรับคนทั่วไป และผู้แสดงความเห็นก็ยังไม่เห็นแอป sideload ใดที่ถูกเลือกปฏิบัติอย่างไม่เป็นธรรมอย่างชัดเจน

  • มีการย้ำว่าก็ยังมีแอปสโตร์ทางเลือกที่เป็นตัวแทนอยู่บ้าง เช่น Epic v. Google และเตือนว่า Android เคยเน้นความเปิดกว้างและสิทธิ์ในการเลือกใช้งานของผู้ใช้ จึงวิจารณ์ว่าการบังคับให้ใช้ ADB อาจยิ่งจำกัดเสรีภาพของผู้ใช้มากกว่าวิธี sideloading ของ Apple เสียอีก โดยชี้ว่านี่เป็นปัญหาคล้ายกันกับที่ Apple เคยถูกวิจารณ์

• มีการอธิบายว่าทำไมการบล็อกการขอสิทธิ์เกี่ยวกับข้อมูลส่วนตัว เช่น SMS หรือการช่วยการเข้าถึง จึงสำคัญมาก เพราะเพียงมีสิทธิ์ SMS ก็สามารถขโมยข้อมูลล็อกอินของบริการต่าง ๆ รวมถึง OTP ได้ทั้งหมด และสิทธิ์การช่วยการเข้าถึงก็สามารถใช้ควบคุมฟังก์ชันอันตรายอย่างแอปธนาคารได้ด้วย นอกจากนี้ยังระบุว่าในสิงคโปร์มีปัญหาการซื้อขายข้อมูลยืนยันตัวตนรุนแรงถึงขั้นมีป้ายเตือนว่า “ถ้ามีคนแปลกหน้ามาขอซื้อข้อมูลระบุตัวตน เช่น หมายเลขโทรศัพท์ อาจโดนโทษจำคุก 5 ปี” และกรณีบัญชีธนาคารหรือบัตรเครดิตก็เช่นเดียวกัน สุดท้ายชี้ว่าข้อมูลระบุตัวตนที่ถูกนำไปใช้ก่ออาชญากรรมย่อมเชื่อมโยงกับตัวบุคคล จึงต้องมีโทษหนักขึ้นหากให้ความร่วมมือ