Googles Play Developer Security Solution er en god start

December 02, 2021
INyheder Internetsikkerhed

Google Play har beskæftiget sig med adskillige sikkerhedsrelaterede problemer siden starten, hvor Google endelig har rettet op på manglen på bekræftelse af kontooprettelse.
Selvom korrekt kontooprettelsesbekræftelse hjælper med at dæmme op for strømmen af kontooprettelse med flere brændere, løser den ikke alt.
Google skal stadig gøre noget ved kapring af udviklerkonti, appkloning, falske appanmeldelser og meget mere.

Et tommelfingeraftryk vises på en mobiltelefon, mens Google-logoet vises på en computerskærm — Leon Neal / Getty Images

Google er for nylig begyndt at kræve tilføjet bekræftelse for Google Play-udviklerkonti – et svar på ondsindede parter, der opretter partier af konti for at sælge – men det kunne gøre mere.

Udviklerkontosikkerhed på Google Play har ikke haft den bedste track record, med grundlæggende tilmelding, der ikke kræver nogen form for bekræftelse af kontaktoplysninger. Nogle grupper udnyttede dette tilsyn til at oprette flere konti og solgte derefter disse konti til folk, der ville uploade malware, fup-apps og så videre. Google for nylig opdateret oprettelse af udviklerkonto for at kræve bekræftelse af kontaktoplysninger for nye konti, men det er mere en anstændig start end et komplet svar på igangværende problemer.

"Det er et skridt i den rigtige retning for Google, da det begynder at beskytte sin indtægtskilde," sagde Katherine Brown, grundlæggeren af Spyisk, i et e-mail-interview med Lifewire, "Det vil også beskytte brugere mod skitserede eller ondsindede apps, der vises på markedet, efterhånden som de vil blive fjernet."

Et godt første skridt

Ved at kræve, at nye Google Play-udviklerkonti skal bekræfte deres kontaktoplysninger, gør Google det sværere (men ikke umuligt) nemt at oprette flere konti på én gang. At gøre verifikation til en mulighed for eksisterende konti hjælper også med bedre at beskytte legitime udviklere mod hackingforsøg og falske konti, der kan optage deres identitet.

Illustration, der viser Googles 2-trinsbekræftelse på Android — Google

Totrinsbekræftelse er også planlagt til august 2021 og vil være påkrævet for alle nye udviklerkonti, når de er implementeret. Den tilføjede forhindring vil gøre det endnu sværere (men stadig ikke umuligt) for dårlige skuespillere at drage fordel af oprettelse af Google Play-kontoer, selvom det ikke er trådt i kraft endnu.

"Løsningen implementeret af Google er lovende, og den er en god start på at håndtere cyberhacks," sagde Harriet Chan, medstifter af CocoFinder, i et e-mailinterview, "Det ville være bedre, hvis de indlejrede denne teknik så hurtigt som muligt."

Google planlægger at gøre bekræftelse af kontaktoplysninger og totrinsbekræftelse obligatorisk, selv for etablerede udviklerkonti, senere på året. Dette vil sandsynligvis afholde mange fra at oprette partier af falske udviklerkonti, men flere brænderkonti er kun et af Google Plays mange problemer.

Alt andet

Et bjerg af enkeltstående brænderkonti og falske udviklerkonti har givetvis bidraget til Google Plays sikkerhedsproblemer. Mange af disse typer konti er blevet brugt til at narre brugere til at downloade ondsindede apps, de troede var legitime, uploade svindelapps osv. Tilføjelse af kontaktoplysninger og totrinsbekræftelse gør dog ikke meget for at løse andre problemer som appkloning eller kapring af udviklerkonti.

Nærbillede sidebillede af en gruppe softwareudviklere foran flere computerskærme — gilaxia / Getty Images

"Denne nyhed rejser en del spørgsmål om, hvad Googles intentioner er, og hvad disse ændringer betyder for både udviklere og brugere," fortsatte Brown med at sige. "Emner som falske apps med falske anmeldelser (ofte købt af spammere) vil stadig eksistere. Google har lovet at stramme op i noget tid, men denne seneste ændring har kun sat en dato for, hvornår opdateringen vil ske."

Selvom Googles nye sikkerhedsforanstaltninger til udviklerkonto helt sikkert vil hjælpe, er der mere, de kan og bør gøre for at håndtere resten af Google Plays kendte problemer. Brown foreslår en mulighed for udviklere til at fortælle Google, at de er verificeret, når de rapporterer malware og spam-apps, samt at få Google til at træde til under "ekstreme" omstændigheder. Dette ville gøre det nemmere for Google at lære om og håndtere ondsindede apps, samtidig med at vurderede udviklere får en mere pålidelig måde at rapportere tvivlsomme apps og konti på.

"Løsningen implementeret af Google er lovende, og det er en god start på at håndtere cyberhacks."

Chan ønsker at adressere kontohacking og afbrydelser mere direkte og foreslår endnu stærkere multi-faktor autentificeringskrav som koder og ansigtsgenkendelse. Token-baseret autorisation og certifikat-baseret identifikation blev også anbefalet som et middel til at give udviklerkonti en endnu mere solid brugerverifikation. Disse foranstaltninger ville gøre det langt sværere at tage kontrol over en etableret udviklers konto og potentielt forhindre, at skadelig software uploades i deres navn.

I sidste ende er både Brown og Chan enige om, at Google har en lovende start, og håber, at sikkerhedsforbedringerne for udviklerkontoen ikke slutter her.