Google เผยขั้นตอนใหม่ 24 ชั่วโมงสำหรับการ sideload แอป Android ที่ยังไม่ผ่านการยืนยัน

 (arstechnica.com)
4 คะแนน โดย GN⁺ 2026-03-20 | 6 ความคิดเห็น | แชร์ทาง WhatsApp
  • Google มีแผนเริ่มใช้ โปรแกรมยืนยันตัวตนนักพัฒนาในเดือน 9/2026 เพื่อจำกัดการติดตั้งแอปที่ไม่ได้รับการรับรอง
  • ผู้ใช้ระดับสูงยังสามารถข้ามการยืนยันเพื่อติดตั้งแอปได้ แต่ต้องผ่าน การตั้งค่าที่ซ่อนอยู่ และรอ 24 ชั่วโมง จึงจะมีผลสมบูรณ์
  • Google อธิบายว่าความล่าช้านี้เป็นมาตรการเพื่อ ป้องกันการโจมตีแบบ social engineering โดยออกแบบมาเพื่อไม่ให้ผู้ใช้ติดตั้งแอปอันตรายแบบฉับพลัน
  • การเปลี่ยนแปลงครั้งนี้มีเป้าหมายเพื่อสร้าง สมดุลระหว่างการยกระดับความปลอดภัยของระบบนิเวศ Android กับสิทธิในการเลือกของผู้ใช้ และมีแผนขยายทั่วโลกในปี 2027

การเปลี่ยนแปลงนโยบาย sideload ของ Android

  • Google กำลังผลักดันการเปลี่ยนแปลงครั้งใหญ่ตั้งแต่ปี 2026 เพื่อ ป้องกันการแพร่กระจายของมัลแวร์ใน Android โดยรวม
    • ตั้งแต่เดือนกันยายนเป็นต้นไป จะอนุญาตให้เฉพาะนักพัฒนาที่ผ่านการรับรองเท่านั้นเผยแพร่แอปได้ผ่าน โปรแกรมยืนยันตัวตนนักพัฒนา
    • การยืนยันต้องใช้ การยืนยันตัวตน, การส่งคีย์ลายเซ็น และค่าธรรมเนียม 25 ดอลลาร์
  • แอปจากนักพัฒนาที่ไม่ผ่านการยืนยันจะไม่สามารถติดตั้งได้ตามค่าเริ่มต้น
    • อย่างไรก็ตาม ยังติดตั้งได้เป็นกรณียกเว้นผ่าน ‘advanced flow’

วิธีการทำงานของ Advanced Flow

  • ฟีเจอร์นี้ ถูกซ่อนไว้ลึกในเมนูการตั้งค่านักพัฒนา
    • ผู้ใช้ต้องเปิดใช้งานตัวเลือกนักพัฒนาโดยแตะหมายเลขบิลด์ 7 ครั้งใน ‘About Phone’
    • จากนั้นต้องหาเมนู “Allow Unverified Packages” แล้วเปิดสวิตช์ พร้อม กรอก PIN และรีสตาร์ตอุปกรณ์
    • หลังจากนั้นต้อง รอ 24 ชั่วโมง แล้วกลับไปที่เมนูตั้งค่าอีกครั้งเพื่อเลือก ‘อนุญาตชั่วคราว (7 วัน)’ หรือ ‘อนุญาตแบบไม่มีกำหนด’
  • ความล่าช้า 24 ชั่วโมงเป็น การออกแบบด้านความปลอดภัยเพื่อป้องกันการติดตั้งแบบฉับพลัน
    • Google ระบุว่าช่วงเวลานี้ช่วย สกัดการหลอกลวงโจมตีแบบ social engineering ได้
    • ตัวอย่างเช่น ลดสถานการณ์ที่ผู้โจมตีเร่งเร้าให้ “ต้องติดตั้งแอปทันที”

สมดุลระหว่างความปลอดภัยกับทางเลือกของผู้ใช้

  • Google เน้นว่าเมื่อคำนึงถึง อุปกรณ์ที่ใช้งานอยู่มากกว่า 300 ล้านเครื่อง จำเป็นต้องรักษาทั้งความเปิดกว้างและความปลอดภัยของแพลตฟอร์มไปพร้อมกัน
    • โดยมีจุดยืนว่า “ถ้าแพลตฟอร์มไม่ปลอดภัย ทั้งผู้ใช้และนักพัฒนาก็เสียประโยชน์”
  • กระบวนการยืนยันมีเป้าหมายเพื่อ ยืนยันตัวตน ไม่ใช่การเซ็นเซอร์เนื้อหาของแอป
    • ผู้ใช้สามารถตรวจสอบได้ว่าแอปไม่ได้มาจาก ผู้เผยแพร่มัลแวร์หรือผู้แอบอ้าง
    • Google ให้นิยามมัลแวร์ว่าเป็น “แอปที่สร้างความเสียหายต่ออุปกรณ์หรือข้อมูลส่วนบุคคลโดยไม่เป็นไปตามเจตนาของผู้ใช้”
  • Google ระบุว่า เครื่องมือ root เพื่อการใช้งานส่วนตัวหรือแอปบล็อกโฆษณา จะไม่ถูกมองว่าเป็นปัญหาในการยืนยัน

ข้อกังวลด้านความเป็นส่วนตัวและกฎหมาย

  • ผู้สนับสนุนความเป็นส่วนตัว บางส่วนกังวลว่าฐานข้อมูลการยืนยันอาจก่อให้เกิด ความเสี่ยงทางกฎหมายต่อนักพัฒนาอิสระ
    • Google ระบุว่าจะ ปกป้องข้อมูลผู้ใช้จากคำสั่งศาลที่ไม่เป็นธรรม
    • และยังกล่าวด้วยว่า ไม่มีแผนเก็บข้อมูลยืนยันตัวตนนักพัฒนาไว้ถาวร
  • ยังมีความกังวลว่านักพัฒนาใน ประเทศที่ถูกคว่ำบาตร (เช่น คิวบา, อิหร่าน) อาจไม่สามารถรับการยืนยันได้เพราะค่าธรรมเนียม
    • Google อธิบายว่ากระบวนการยืนยันอาจแตกต่างกันไปตามแต่ละประเทศ และไม่ได้มีจุดประสงค์เพื่อกีดกันบางภูมิภาคโดยเฉพาะ

กำหนดการบังคับใช้แบบค่อยเป็นค่อยไป

  • จะเริ่มใช้ก่อนใน เดือนกันยายน 2026 ที่บราซิล สิงคโปร์ อินโดนีเซีย และไทย
    • ภูมิภาคเหล่านี้มี การหลอกลวงแบบแอบอ้างและฟิชชิง ค่อนข้างมาก
  • หลังจากนั้นมีแผน ขยายไปทั่วโลกในปี 2027
  • Google ได้รวมฟีเจอร์การยืนยันไว้ใน Android 16.1 (เปิดตัวในปี 2025) และ
    มีแผนให้ อุปกรณ์ที่รองรับทั้งหมดมี UI และหน้าจอคำเตือนแบบเดียวกัน
  • Google ย้ำว่าการติดตั้งแอปนอก Play มี ความเสี่ยงติดมัลแวร์สูงกว่า 50 เท่า
    • การนำระบบยืนยันตัวตนนักพัฒนาบน Play Store มาใช้ในปี 2023 เป็นพื้นฐานของนโยบายครั้งนี้
    • ในบางประเทศมี แรงกดดันด้านกฎระเบียบ ให้แก้ปัญหาความปลอดภัยด้วย

บทความที่เกี่ยวข้อง

6 ความคิดเห็น

 
monotyp3 2026-03-20

ถ้าจะจำกัด ก็อยากให้ล็อกให้เข้มกว่านี้แบบไม่สามารถสลับเปิดในตัวเครื่องได้ และเปิดใช้งานได้ผ่าน adb เท่านั้น
แต่โดยส่วนตัวแล้ว แค่นี้ก็ยังถือว่าพอยอมรับได้ครับ
 
unsure4000 2026-03-20

> กระบวนการทั้งหมดนี้ถูกส่งผ่าน Google Play Services ไม่ใช่ตัวระบบปฏิบัติการ Android ซึ่งหมายความว่า Google สามารถแก้ไข จำกัด หรือถอดออกได้ทุกเมื่อโดยไม่ต้องอัปเดตระบบปฏิบัติการ และไม่ต้องได้รับความยินยอมจากผู้ใช้แต่อย่างใด กระบวนการขั้นสูงนี้ก็ยังไม่เคยปรากฏใน Android beta, dev preview หรือ canary release ใด ๆ ณ วันที่มีการอัปเดตนี้ มันยังมีอยู่เพียงในรูปแบบโพสต์บล็อกและภาพจำลอง UI เท่านั้น ชุมชนกำลังถูกขอให้ยอมรับการประกาศผลิตภัณฑ์ว่าเป็นมาตรการป้องกันที่ใช้งานได้จริง ทั้งที่ยังเหลือเวลาอีกห้าเดือนก่อนข้อบังคับนี้จะมีผลบังคับใช้
> - https://keepandroidopen.org
 
unsure4000 2026-03-20

ผมไม่ต้องการข้อเสนอปลอบใจแบบว่าแค่รอ 24 ชั่วโมงก็พอ ผมไม่ชอบความพยายามที่จะทำให้ฟีเจอร์ของอุปกรณ์ที่ผมซื้อมาใช้งานไม่ได้
 
crawler 2026-03-20

สุดท้ายดูเหมือนว่า APK จะไม่ได้ถูกปิดกั้นไปทั้งหมด โล่งอกจริง ๆ ครับ
 
lamanus 2026-03-20

เสียเงินกันอีกแล้ว..
 
luiseok 2026-03-20

ตอนนี้ดูเหมือนว่ารูปแบบการโจมตีแบบฟิชชิงจะเปลี่ยนไปเป็นการวางกับดักไว้แล้วรอให้นานขึ้นอีกหน่อยนะครับ
แต่ก็คิดว่าเป็นนโยบายที่จะทำให้ปลอดภัยกว่าตอนนี้มากอย่างแน่นอน