Lĩnh vực quảng cáo di động đang đối mặt với sự giám sát gia tăng sau khi các nhà nghiên cứu bảo mật và người dùng phát hiện bằng chứng cho thấy ứng dụng có thể được cài đặt trên thiết bị Android mà không có sự đồng ý rõ ràng từ người dùng. Các thảo luận trong cộng đồng tiết lộ mối quan ngại ngày càng lớn về các phương thức cài đặt bỏ qua các giao thức bảo mật tiêu chuẩn của Android, với nhiều người dùng báo cáo việc các ứng dụng không mong đợi xuất hiện trên thiết bị của họ sau những tương tác đơn giản với quảng cáo.
Cách các thao tác nhầm kích hoạt cài đặt
Phân tích từ cộng đồng về mã của AppLovin đã tiết lộ một quy trình cài đặt đáng lo ngại. Khi người dùng nhấp vào quảng cáo—đôi khi là vô tình khi nhắm vào các nút X nhỏ—chỉ một tương tác duy nhất này có thể khởi động một chuỗi sự kiện dẫn đến việc cài đặt ứng dụng hoàn chỉnh mà không cần hiển thị màn hình xin cấp quyền tiêu chuẩn của Android. Kiểm tra kỹ thuật cho thấy hệ thống này sử dụng JavaScript bị làm mờ và các trình trợ giúp cài đặt chuyên biệt từ nhà sản xuất và nhà mạng để bỏ qua các quy trình cài đặt thông thường.
Cộng đồng đã xác định rằng những cài đặt này xảy ra thông qua quan hệ đối tác với các nhà sản xuất thiết bị và nhà mạng di động, những bên cung cấp quyền hệ thống được nâng cao. Các quan hệ đối tác này, vốn ban đầu được thiết kế cho việc cài đặt trải nghiệm mở hộp trong quá trình thiết lập thiết bị lần đầu, dường như đã được mở rộng vô thời hạn mà không có các biện pháp bảo vệ phù hợp. Các nhà nghiên cứu lưu ý rằng các hạn chế đơn giản dựa trên thời gian lẽ ra có thể ngăn chặn việc cài đặt liên tục vượt quá giai đoạn thiết lập ban đầu.
「Tôi đã biết từ lâu rằng T-Mobile cài đặt sẵn các ứng dụng rác trong lần thiết lập đầu tiên, nhưng việc thấy chúng được tải xuống OTA (qua mạng) chỉ sau một cú nhấp chuột vào quảng cáo (thậm chí chỉ lệch vài pixel so với nút 'x') là rất đáng lo ngại. Ngay cả khi bỏ qua các vấn đề đạo đức với những hành vi như thế này, đó là một lỗ hổng bảo mật lớn trong một tỷ lệ rất lớn điện thoại Android.」
Các bên tham gia chính: AppLovin, Samsung, T-Mobile, và các nhà mạng khác cung cấp ứng dụng "trợ giúp cài đặt"
Trải nghiệm người dùng và Mối lo ngại về Bảo mật
Trên khắp các diễn đàn trực tuyến và cơ sở dữ liệu khiếu nại, người dùng báo cáo các mẫu hình nhất quán về việc cài đặt không mong muốn. Nhiều người mô tả việc tìm thấy ứng dụng mới trên thiết bị của họ sau khi chơi game hoặc xem quảng cáo, mà không hề nhớ đã khởi động tải về. Một số người dùng gặp phải bộ đếm ngược tự động cài đặt ứng dụng nếu không bị hủy, trong khi những người khác báo cáo rằng việc cài đặt vẫn tiếp diễn ngay cả khi họ nhấn nút X để từ chối.
Các hệ quả về bảo mật là rất đáng kể. Bảo mật Android truyền thống dựa vào việc người dùng cấp quyền cài đặt một cách rõ ràng, nhưng các phương thức này lại phá vỡ những biện pháp bảo vệ đó. Các thành viên cộng đồng lưu ý rằng khả năng cài đặt ứng dụng chỉ qua một cú nhấp vào quảng cáo tạo ra một lỗ hổng bảo mật đáng kể, đặc biệt khi kết hợp với các thành phần giao diện cố tình được làm nhỏ để làm tăng khả năng nhấp nhầm.
Khiếu nại của người dùng được báo cáo: 208 khiếu nại riêng biệt mô tả các ứng dụng được cài đặt trong khi chơi game hoặc xem quảng cáo
Giải pháp và Cách khắc phục từ Cộng đồng
Những người dùng am hiểu công nghệ đã phát triển nhiều chiến lược khác nhau để chống lại các cài đặt không mong muốn này. Một số khuyến nghị sử dụng các công cụ như Intent Intercept, công cụ hiển thị những hành động sẽ xảy ra từ bất kỳ thao tác nhấp nào và cung cấp các tùy chọn hủy bỏ. Những người khác đề xuất việc kiểm tra nhật ký cài đặt thông qua Android Debug Bridge (ADB) hoặc cài đặt thiết bị để xác định gói nào đã khởi động việc cài đặt.
Cuộc thảo luận cũng làm bùng lên lại cuộc tranh luận xung quanh việc lựa chọn nền tảng di động. Trong khi một số thành viên cộng đồng ủng hộ việc chuyển sang iOS vì các kiểm soát cài đặt chặt chẽ hơn của nó, những người khác chỉ ra rằng điều này không thực tế đối với người dùng ngân sách eo hẹp hoặc những người đã đầu tư vào hệ sinh thái Android. Cuộc thảo luận làm nổi bật sự căng thẳng giữa tính linh hoạt của Android và các rủi ro bảo mật mà sự linh hoạt đó có thể tạo ra khi bị lợi dụng.
Công cụ được Cộng đồng Khuyên dùng: Intent Intercept (có sẵn trên F-Droid), kiểm tra gói ADB, hồ sơ công việc trên thiết bị
Trách nhiệm của toàn bộ Hệ sinh thái
Phân tích từ cộng đồng chỉ ra trách nhiệm chia sẻ trên toàn bộ hệ sinh thái di động. Trong khi AppLovin phát triển công nghệ cài đặt, thì các nhà sản xuất và nhà mạng lại cung cấp quyền truy cập cấp hệ thống cần thiết. Các lợi ích tài chính là rõ ràng—AppLovin báo cáo biên lợi nhuận ròng 65% trong quý 2 năm 2025—nhưng cái giá phải trả cho trải nghiệm người dùng và bảo mật có thể là rất lớn.
Bất chấp các tuyên bố công khai nhấn mạnh vào sự lựa chọn của người dùng, khoảng cách giữa tuyên bố của công ty và trải nghiệm thực tế của người dùng vẫn còn lớn. Như một nhà nghiên cứu tham gia vào cuộc điều tra đã lưu ý, bằng chứng từ việc phân tích mã, khiếu nại của người dùng và các mẫu hình cài đặt đã vẽ nên một bức tranh nhất quán về việc cài đặt xảy ra mà không có sự đồng ý thực sự.
Cuộc thảo luận đang diễn ra trong cộng đồng đóng vai trò như một lời nhắc nhở rằng bảo mật di động đòi hỏi sự cảnh giác từ người dùng, các nhà nghiên cứu và cả những nhà cung cấp nền tảng. Khi các phương thức cài đặt phát triển, thì các biện pháp bảo vệ đảm bảo người dùng duy trì quyền kiểm soát những gì xuất hiện trên thiết bị của họ cũng phải phát triển theo.
Tham khảo: AppLovin Nonconsensual Installs