Kluczowe dania na wynos
- Google Play boryka się z kilkoma problemami związanymi z bezpieczeństwem od samego początku, a Google w końcu rozwiązało problem braku weryfikacji tworzenia konta.
- Chociaż prawidłowa weryfikacja tworzenia kont pomaga powstrzymać proces tworzenia kont wielu nagrywarek, nie rozwiązuje to wszystkiego.
- Google wciąż musi coś zrobić z przejmowaniem kont programistów, klonowaniem aplikacji, fałszywymi recenzjami aplikacji i nie tylko.
Google niedawno zaczął wymagać dodatkowej weryfikacji kont programistów Google Play – w odpowiedzi na złośliwe strony tworzące partie kont do sprzedaży – ale może robić więcej.
Bezpieczeństwo konta programisty w Google Play nie ma najlepszych osiągnięć, a podstawowa rejestracja nie wymaga żadnej formy weryfikacji danych kontaktowych. Niektóre grupy wykorzystywały to niedopatrzenie do tworzenia wielu kont, a następnie sprzedawały je osobom, które przesyłały złośliwe oprogramowanie, oszukańcze aplikacje i tak dalej. Google niedawno zaktualizowało tworzenie kont programisty, aby wymagać weryfikacji danych kontaktowych dla nowych kont, ale jest to bardziej przyzwoity początek niż kompletna odpowiedź na bieżące problemy.
„Jest to krok we właściwym kierunku dla Google, ponieważ zaczyna ono chronić swoje źródło przychodów” – powiedziała Katherine Brown, założycielka Spyic, w wywiadzie e-mailowym dla Lifewire. „Ochroni również użytkowników przed podejrzane lub złośliwe aplikacje pojawiające się na rynku, ponieważ zostaną usunięte."
Dobry pierwszy krok
Wymagając, aby nowe konta programistów w Google Play weryfikowały swoje dane kontaktowe, Google utrudnia (choć nie uniemożliwia) łatwe tworzenie wielu kont jednocześnie. Udostępnienie opcji weryfikacji dla istniejących kont pomaga również lepiej chronić legalnych programistów przed próbami włamań i fałszywymi kontami, które mogą dokooptować ich tożsamość.
Weryfikacja dwuetapowa jest również planowana na sierpień 2021 r. i będzie wymagana dla wszystkich nowych kont programistów po ich wdrożeniu. Dodana przeszkoda jeszcze bardziej utrudni (choć nadal nie jest niemożliwa) złym aktorom korzystanie z kreacji kont Google Play, chociaż nie weszło to jeszcze w życie.
„Rozwiązanie wdrożone przez Google jest obiecujące i stanowi dobry początek radzenia sobie z hakerami cybernetycznymi”, powiedziała Harriet Chan, współzałożycielka CocoFinder, w wywiadzie e-mailowym. tę technikę tak szybko, jak to możliwe."
Google planuje wprowadzić jeszcze w tym roku weryfikację danych kontaktowych i weryfikację dwuetapową, nawet w przypadku uznanych kont programistów. Prawdopodobnie zniechęci to wielu do tworzenia partii fałszywych kont programistów, ale wiele kont nagrywających to tylko jeden z wielu problemów Google Play.
Wszystko inne
Góra jednorazowych kont nagrywarek i fałszywych kont programistów przyczyniły się do problemów z bezpieczeństwem Google Play. Wiele z tych typów kont było używanych do nakłaniania użytkowników do pobierania złośliwych aplikacji, które uważali za legalne, przesyłania fałszywych aplikacji itp. Dodanie danych kontaktowych i dwuetapowej weryfikacji nie rozwiązuje innych problemów, takich jak klonowanie aplikacji lub konto programisty jednak porwanie.
„Ta wiadomość rodzi wiele pytań dotyczących intencji Google i znaczenia tych zmian zarówno dla programistów, jak i użytkowników”, powiedział Brown. „Tematy takie jak fałszywe aplikacje z fałszywymi recenzjami (często kupowane przez spamerów) będą nadal istnieć. Google od pewnego czasu obiecuje zaostrzyć sytuację, ale ta najnowsza zmiana wyznaczyła tylko datę, kiedy aktualizacja ma się odbyć.„
Chociaż nowe środki bezpieczeństwa konta programisty Google z pewnością pomogą, mogą i powinni zrobić więcej, aby poradzić sobie z pozostałymi znanymi problemami Google Play. Brown sugeruje programistom możliwość poinformowania Google, że są zweryfikowani podczas zgłaszania złośliwych aplikacji i aplikacji spamowych, a także ingerencji Google w „ekstremalnych” okolicznościach. Ułatwiłoby to Google zdobywanie wiedzy o złośliwych aplikacjach i radzenie sobie z nimi, a jednocześnie dałoby sprawdzonym programistom bardziej niezawodny sposób zgłaszania wątpliwych aplikacji i kont.
Rozwiązanie wdrożone przez Google jest obiecujące i stanowi dobry początek walki z cyberhakami.
Chan chce bardziej bezpośrednio zająć się włamywaniem do konta i przerwami, sugerując jeszcze ostrzejsze wymagania dotyczące uwierzytelniania wieloskładnikowego, takie jak kody i rozpoznawanie twarzy. Autoryzacja na podstawie tokena i identyfikacja na podstawie certyfikatu były również zalecane jako sposób na zapewnienie kont programistów jeszcze bardziej solidnej weryfikacji użytkowników. Te środki znacznie utrudniłyby przejęcie kontroli nad ustalonym kontem programisty i potencjalnie zapobiegłyby przesyłaniu złośliwego oprogramowania w jego imieniu.
Ostatecznie zarówno Brown, jak i Chan zgadzają się, że Google ma obiecujący początek i mają nadzieję, że ulepszenia zabezpieczeń kont programistów na tym się nie skończą.