Řešení zabezpečení pro vývojáře Google Play je dobrý začátek
- Google Play se od svého vzniku potýkal s několika bezpečnostními problémy, přičemž Google konečně vyřešil chybějící ověřování vytvoření účtu.
- I když správné ověření vytvoření účtu pomáhá zastavit tok vytváření účtů s více hořáky, neřeší vše.
- Google musí stále něco dělat s únosem účtu vývojáře, klonováním aplikací, falešnými recenzemi aplikací a dalšími.
Leon Neal / Getty Images
Google nedávno začal vyžadovat dodatečné ověření pro účty vývojářů Google Play – což je reakce na škodlivé strany, které vytvářejí skupiny účtů k prodeji – ale mohl by dělat víc.
Zabezpečení účtu vývojáře na Google Play nemá nejlepší výsledky, protože základní registrace nevyžaduje žádnou formu ověření kontaktních údajů. Některé skupiny využívaly tohoto dohledu k vytváření více účtů a poté tyto účty prodávaly lidem, kteří nahrávali malware, podvodné aplikace a tak dále. Google nedávno aktualizované vytvoření účtu vývojáře vyžaduje ověření kontaktních údajů pro nové účty, ale je to spíše slušný začátek než úplná odpověď na přetrvávající problémy.
„Pro Google je to krok správným směrem, protože začíná chránit svůj zdroj příjmů,“ řekla Katherine Brown, zakladatelka Špionážní, v e-mailovém rozhovoru pro Lifewire: "Bude také chránit uživatele před útržkovitými nebo škodlivými aplikacemi, které se objevují na trhu, protože budou odstraněny."
Dobrý první krok
Tím, že Google vyžaduje, aby nové účty vývojářů Google Play ověřovaly jejich kontaktní údaje, ztěžuje (i když ne nemožné) snadné vytváření více účtů najednou. Zavedení ověření jako možnost pro stávající účty také pomáhá lépe chránit legitimní vývojáře před pokusy o hackování a falešnými účty, které mohou kooptovat jejich identitu.
Dvoufázové ověření je také plánováno na srpen 2021 a po implementaci bude vyžadováno u všech nových vývojářských účtů. Přidaná překážka ještě více ztíží (ačkoli stále ne nemožné) pro špatné herce využít výhod vytvořených účtů Google Play, i když se zatím neprojevila.
„Řešení implementované společností Google je slibné a je to dobrý začátek, jak se vypořádat s kybernetickými hacky,“ řekla Harriet Chan, spoluzakladatelka CocoFinder, v e-mailovém rozhovoru: "Bylo by lepší, kdyby tuto techniku začlenili co nejrychleji."
Google plánuje, že koncem tohoto roku zavede ověření kontaktních údajů a dvoufázové ověření jako povinné, a to i pro zavedené účty vývojářů. To pravděpodobně mnohé odradí od vytváření dávek falešných vývojářských účtů, ale více účtů vypalovaček je pouze jedním z mnoha problémů Google Play.
Všechno ostatní
K bezpečnostním problémům na Google Play přispěla samozřejmě hora jednorázových vypalovacích účtů a falešných vývojářských účtů. Mnoho z těchto typů účtů bylo použito k oklamání uživatelů, aby si stáhli škodlivé aplikace, které považovali za legitimní, nahráli podvodné aplikace atd. Přidání kontaktních údajů a dvoufázové ověření však příliš nevyřeší další problémy, jako je klonování aplikací nebo únos účtu vývojáře.
gilaxia / Getty Images
„Tato zpráva vyvolává řadu otázek o tom, jaké jsou záměry společnosti Google a co tyto změny znamenají pro vývojáře i uživatele,“ pokračoval Brown. „Téma jako falešné aplikace s falešnými recenzemi (často kupované spammery) budou stále existovat. Google už nějakou dobu slibuje zpřísnění, ale tato nejnovější změna stanovila pouze datum, kdy k aktualizaci dojde.“
I když nová bezpečnostní opatření pro vývojářský účet Google rozhodně pomohou, je toho více, co mohou a měli by udělat, aby se vypořádali se zbytkem známých problémů Google Play. Brown navrhuje, aby vývojáři měli možnost sdělit Googlu, že jsou ověřeni při hlášení malwaru a spamových aplikací, a také nechat Google zasáhnout za „extrémních“ okolností. To by společnosti Google usnadnilo dozvědět se o škodlivých aplikacích a vypořádat se s nimi a zároveň by to prověřeným vývojářům poskytlo spolehlivější způsob, jak hlásit pochybné aplikace a účty.
"Řešení implementované společností Google je slibné a je to dobrý začátek, jak se vypořádat s kybernetickými hacky."
Chan chce řešit hackování účtů a přerušení příměji a navrhuje ještě přísnější požadavky na vícefaktorovou autentizaci, jako jsou kódy a rozpoznávání obličeje. Autorizace na základě tokenů a identifikace na základě certifikátu byly také doporučeny jako prostředek k zajištění ještě spolehlivějšího ověření uživatelů pro účty vývojářů. Tato opatření by značně ztížila převzetí kontroly nad zavedeným účtem vývojáře a potenciálně by zabránila nahrávání škodlivého softwaru na jejich jméno.
Brown i Chan se nakonec shodují na tom, že Google má slibný začátek a doufají, že zde vylepšení zabezpečení účtu pro vývojáře neskončí.