Kľúčové poznatky
- Google Play sa od svojho vzniku potýka s niekoľkými problémami súvisiacimi s bezpečnosťou, pričom Google konečne rieši nedostatok overenia vytvorenia účtu.
- Správne overenie vytvorenia účtu síce pomáha zastaviť tok vytvárania účtov s viacerými horákmi, ale nerieši všetko.
- Google musí ešte niečo urobiť v súvislosti s únosom účtu vývojára, klonovaním aplikácií, falošnými recenziami aplikácií a ďalšími.
Spoločnosť Google začala nedávno vyžadovať dodatočné overenie pre účty vývojárov Google Play – ako odpoveď na škodlivé strany, ktoré vytvárajú skupiny účtov na predaj – ale mohla by robiť viac.
Zabezpečenie účtu vývojára v službe Google Play nedosiahlo najlepšie výsledky, pretože základná registrácia nevyžaduje žiadnu formu overenia kontaktných údajov. Niektoré skupiny využívali tento dohľad na vytvorenie viacerých účtov a potom tieto účty predávali ľuďom, ktorí nahrali malvér, podvodné aplikácie atď. Google nedávno aktualizoval vytvorenie účtu vývojára tak, aby vyžadoval overenie kontaktných údajov pre nové účty, ale je to skôr slušný začiatok ako úplná odpoveď na pretrvávajúce problémy.
„Je to krok správnym smerom pre Google, pretože začína chrániť svoj zdroj príjmov,“povedala Katherine Brown, zakladateľka Spyic, v e-mailovom rozhovore pre Lifewire, „bude tiež chrániť používateľov pred útržkovité alebo škodlivé aplikácie zobrazujúce sa na trhu, pretože budú odstránené."
Dobrý prvý krok
Vyžadovaním nových účtov vývojárov Google Play na overenie ich kontaktných informácií spoločnosť Google sťažuje (aj keď nie nemožné) jednoduché vytváranie viacerých účtov naraz. Zavedenie overenia ako možnosti pre existujúce účty tiež pomáha lepšie chrániť legitímnych vývojárov pred pokusmi o hackerstvo a falošnými účtami, ktoré môžu kooptovať ich identitu.
Verifikácia v dvoch krokoch je tiež naplánovaná na august 2021 a po implementácii sa bude vyžadovať pre všetky nové účty vývojárov. Pridaná prekážka ešte viac sťaží (hoci stále nie je nemožné) pre zlých hercov využívať výhody vytvorené v účte Google Play, hoci ešte nenadobudla účinnosť.
"Riešenie implementované spoločnosťou Google je sľubné a je to dobrý začiatok, ako sa vysporiadať s kybernetickými hackami," povedala Harriet Chan, spoluzakladateľka CocoFinder, v e-mailovom rozhovore. "Bolo by lepšie, keby vložili túto techniku čo najrýchlejšie."
Spoločnosť Google plánuje koncom tohto roka zaviesť povinné overenie kontaktných údajov a verifikáciu v dvoch krokoch, a to aj pre zavedené účty vývojárov. To pravdepodobne mnohých odradí od vytvárania dávok falošných účtov vývojárov, ale viacero účtov napaľovačky je len jedným z mnohých problémov služby Google Play.
Všetko ostatné
K problémom so zabezpečením služby Google Play prispelo množstvo jednorazových účtov a falošných účtov vývojárov. Mnohé z týchto typov účtov sa použili na oklamanie používateľov, aby si stiahli škodlivé aplikácie, ktoré považovali za legitímne, odovzdali podvodné aplikácie atď. Pridanie kontaktných informácií a dvojstupňové overenie nepomôže vyriešiť ďalšie problémy, ako je klonovanie aplikácií alebo účet vývojára. únos však.
„Táto správa vyvoláva množstvo otázok o tom, aké sú zámery spoločnosti Google a čo tieto zmeny znamenajú pre vývojárov aj používateľov,“pokračoval Brown. "Témy ako falošné aplikácie s falošnými recenziami (často kupované spamermi) budú stále existovať. Google už nejaký čas sľubuje sprísnenie, no táto posledná zmena stanovila iba dátum, kedy k aktualizácii dôjde."
Zatiaľ čo nové bezpečnostné opatrenia účtu vývojára od Googlu určite pomôžu, je toho viac, čo môžu a mali by urobiť pri riešení zvyšku známych problémov služby Google Play. Brown navrhuje vývojárom možnosť informovať Google, že sú overení pri nahlasovaní malvéru a spamových aplikácií, ako aj nechať Google zasiahnuť počas „extrémnych“okolností. Google by sa tak mohol ľahšie dozvedieť o škodlivých aplikáciách a zaobchádzať s nimi a zároveň by to prevereným vývojárom poskytlo spoľahlivejší spôsob nahlasovania pochybných aplikácií a účtov.
Riešenie implementované spoločnosťou Google je sľubné a je to dobrý začiatok na riešenie kybernetických hackingov.
Chan chce riešiť hackerstvo a prerušenia účtu priamejšie, pričom navrhuje ešte prísnejšie požiadavky na viacfaktorovú autentifikáciu, ako sú kódy a rozpoznávanie tváre. Autorizácia na základe tokenov a identifikácia na základe certifikátu sa tiež odporúčali ako prostriedok na poskytovanie ešte spoľahlivejšieho overenia používateľov pre účty vývojárov. Tieto opatrenia by výrazne sťažili prevzatie kontroly nad účtom etablovaného vývojára a potenciálne by zabránili nahrávaniu škodlivého softvéru na ich meno.
Nakoniec Brown aj Chan súhlasia s tým, že Google má sľubný začiatok a dúfajú, že tu sa vylepšenia zabezpečenia účtu vývojára neskončia.
