Google đang phát triển một tính năng bảo mật mới cho Android 17 mang tên OS verification — cho phép người dùng xác minh xem điện thoại của mình có đang chạy hệ điều hành thật sự hay đã bị cài ROM giả mạo, chỉ với 3 bước đơn giản sử dụng QR code và một thiết bị thứ hai. Thông tin này được phát hiện qua phân tích APK của bản QPR1 Beta 3 vừa phát hành, do Android Authority công bố.

Vấn đề mà tính năng này muốn giải quyết

Android từ lâu đã có các cơ chế bảo vệ tính toàn vẹn của hệ điều hành như Android Verified Boot (xác minh chữ ký khi khởi động) hay Pixel Binary Transparency (dành riêng cho dòng Pixel). Tuy nhiên, để thực sự kiểm tra thủ công xem firmware có bị can thiệp hay không, người dùng cần có kiến thức kỹ thuật khá sâu — điều mà phần lớn người dùng phổ thông khó thực hiện được.

Đây là khoảng trống mà tính năng OS verification trong Android 17 hướng đến lấp đầy. Mục tiêu thực tế là giúp người dùng phát hiện các trường hợp như: ROM giả mạo được cài qua link phishing, hoặc thiết bị bị cài firmware độc hại bởi bên thứ ba — mà không cần cài thêm bất kỳ ứng dụng nào.

Cơ chế hoạt động: 2 thiết bị, 1 QR code, 3 bước

Dựa trên các chuỗi ký tự được tìm thấy trong APK của QPR1 Beta 3, quy trình xác minh dự kiến diễn ra như sau:

  • Bước 1: Dùng một thiết bị tin cậy khác (PC, máy tính bảng, hoặc điện thoại khác có trình duyệt) truy cập vào URL hiển thị trên màn hình thiết bị cần kiểm tra.
  • Bước 2: Dùng thiết bị cần kiểm tra quét QR code xuất hiện trên thiết bị thứ hai. Lúc này, thiết bị cần kiểm tra sẽ tạo ra một mã định danh duy nhất dựa trên phần mềm đang chạy và gửi đi.
  • Bước 3: So sánh bằng mắt thông tin hiển thị trên cả hai màn hình — nếu khớp, thiết bị đang chạy OS hợp lệ; nếu không khớp, hệ thống sẽ cảnh báo.

Thông điệp cảnh báo được tìm thấy trong APK có nội dung: "Nếu thông tin trên hai thiết bị không khớp, thiết bị này có thể đang chạy phiên bản Android không an toàn và tiềm ẩn rủi ro bảo mật."

Lý do cần đến thiết bị thứ hai cũng rất hợp lý về mặt kỹ thuật: nếu chính thiết bị bị giả mạo tự xác minh bản thân, kết quả sẽ không đáng tin cậy. Việc đối chiếu với một nguồn độc lập bên ngoài mới đảm bảo tính khách quan.

Tính năng chưa hoạt động hoàn toàn — giao thức transparency:// còn bỏ ngỏ

Đáng chú ý là ở thời điểm hiện tại, luồng xác minh này chưa hoạt động đầy đủ. Khi thử quét QR code, hệ thống dừng lại vì chưa có ứng dụng nào được gán để xử lý giao thức transparency://. Nút "About" đã có thể dẫn đến tài liệu chính thức của Google, nhưng phần cốt lõi của tính năng vẫn chưa được kết nối.

Hiện chưa rõ giao thức này sẽ được xử lý bởi một ứng dụng độc lập mới, hay được tích hợp vào ứng dụng hiện có (chẳng hạn Google Play Services hoặc ứng dụng Cài đặt). Các bản Beta tiếp theo của Android 17 được kỳ vọng sẽ làm rõ điểm này.

Nền tảng kỹ thuật: Binary Transparency mở rộng

Tính năng OS verification không xuất hiện đơn lẻ — nó là một phần trong chiến lược Binary Transparency mà Google đang mở rộng trên toàn hệ sinh thái Android. Kể từ ngày 1 tháng 5 năm 2026, các ứng dụng Android sản xuất của Google sẽ được ghi nhận mục nhập mã hóa vào một sổ cái công khai (public ledger), bao gồm hai nhóm:

  1. Google Applications — gồm Google Play Services và các ứng dụng Google độc lập.
  2. Mainline Modules — các thành phần OS có thể cập nhật động, chạy với quyền đặc quyền.

Google cũng đang tích cực mở rộng chương trình này cho các nhà phát triển bên thứ ba. Tính năng OS verification UI chính là cách để người dùng phổ thông có thể đối chiếu với sổ cái này mà không cần công cụ kỹ thuật chuyên biệt.

Như Google đã phát biểu: "Chữ ký số là bằng chứng về nguồn gốc, còn Binary Transparency là bằng chứng về ý định."

QPR1 Beta 3 còn mang đến điều gì khác?

Ngoài OS verification, bản QPR1 Beta 3 tập trung vào các cải tiến thực dụng:

  • Giao diện: Mở rộng hiệu ứng blur và bán trong suốt ở Quick Settings và menu nguồn; thêm animation bounce-back mới.
  • Sửa lỗi: Khắc phục tiếng rè âm thanh, lỗi Wi-Fi ngắt kết nối sai, và widget màn hình chính biến mất sau khi khởi động lại.
  • Phạm vi phát hành: OTA được phân phối tại Google I/O 2026, dành cho Pixel 6 đến Pixel 10 series thông qua Android Beta Program.

QPR1 dự kiến được tích hợp vào Feature Drop tháng 9. Nhìn chung, đây là bản cập nhật thiên về ổn định hơn là tính năng nổi bật.

Đánh giá độ tin cậy và điều cần theo dõi

Toàn bộ thông tin về OS verification đến từ phân tích APK — tức là đọc code chưa được kích hoạt trong bản build thử nghiệm. Không phải tính năng nào được tìm thấy theo cách này cũng đến được phiên bản chính thức. Vì vậy, cần hiểu đây là tín hiệu về hướng phát triển, chứ chưa phải xác nhận chính thức.

Hai điểm cần theo dõi ở các bản Beta tiếp theo:

  • Giao thức transparency:// sẽ được xử lý bởi ứng dụng nào?
  • Tính năng có mở rộng ra ngoài dòng Pixel không?

Đối với người dùng Android tại Việt Nam, đặc biệt những ai mua thiết bị qua kênh xách tay hoặc không chính hãng, tính năng này — nếu hoàn thiện — sẽ là công cụ hữu ích để kiểm tra xem thiết bị có bị cài ROM tùy chỉnh hay phần mềm độc hại trước khi đến tay mình hay không. Thông tin về thời điểm ra mắt chính thức tại Việt Nam chưa được công bố, nhưng Android 17 dự kiến phát hành rộng rãi trong nửa cuối năm 2026.

Nguồn