La solución de seguridad para desarrolladores de Google Play es un buen comienzo

December 02, 2021
EnNoticias Seguridad De Internet

Google Play ha estado lidiando con varios problemas relacionados con la seguridad desde su inicio, y Google finalmente solucionó la falta de verificación de la creación de cuentas.
Si bien la verificación adecuada de la creación de cuentas ayuda a detener el flujo de la creación de cuentas de varios grabadores, no se ocupa de todo.
Google todavía tiene que hacer algo sobre el secuestro de cuentas de desarrollador, la clonación de aplicaciones, las revisiones de aplicaciones falsas y más.

Se muestra una huella digital en un teléfono móvil mientras que el logotipo de Google se muestra en un monitor de computadora — Leon Neal / Getty Images

Recientemente, Google ha comenzado a exigir una verificación adicional para las cuentas de desarrollador de Google Play, una respuesta a las partes malintencionadas que crean lotes de cuentas para vender, pero podría estar haciendo más.

La seguridad de la cuenta de desarrollador en Google Play no ha tenido el mejor historial, y el registro básico no requiere ningún tipo de verificación de detalles de contacto. Algunos grupos estaban explotando este descuido para crear varias cuentas y luego vender esas cuentas a personas que cargarían malware, aplicaciones fraudulentas, etc. Google

recientemente actualizado La creación de una cuenta de desarrollador requiere la verificación de la información de contacto para las cuentas nuevas, pero es más un comienzo decente que una respuesta completa a los problemas en curso.

"Es un movimiento en la dirección correcta para Google, ya que comienza a proteger su fuente de ingresos", dijo Katherine Brown, fundadora de Espía, en una entrevista por correo electrónico con Lifewire, "También protegerá a los usuarios de aplicaciones malintencionadas o maliciosas que aparecen en el mercado, ya que serán eliminadas".

Un buen primer paso

Al exigir que las nuevas cuentas de desarrollador de Google Play verifiquen su información de contacto, Google hace que sea más difícil (aunque no imposible) crear fácilmente varias cuentas a la vez. Hacer de la verificación una opción para las cuentas existentes también ayuda a proteger mejor a los desarrolladores legítimos de los intentos de piratería y las cuentas falsas que pueden apropiarse de su identidad.

Ilustración que muestra la verificación en dos pasos de Google en Android — Google

La verificación en dos pasos también está prevista para agosto de 2021 y será necesaria para todas las cuentas de desarrollador nuevas una vez que se implementen. El obstáculo agregado hará que sea aún más difícil (aunque no imposible) que los malos actores aprovechen las creaciones de cuentas de Google Play, aunque aún no ha entrado en vigencia.

"La solución implementada por Google es prometedora y es un buen comienzo para lidiar con los ciberataques", dijo Harriet Chan, cofundadora de CocoFinder, en una entrevista por correo electrónico, "Sería mejor si integraran esta técnica lo más rápido posible".

Google planea hacer que la verificación de detalles de contacto y la verificación en dos pasos sean obligatorias, incluso para cuentas de desarrollador establecidas, a finales de este año. Esto probablemente disuadirá a muchos de crear lotes de cuentas de desarrollador falsas, pero varias cuentas de grabación son solo uno de los muchos problemas de Google Play.

Todo lo demas

Sin duda, una montaña de cuentas de grabación únicas y cuentas de desarrollador falsas han contribuido a los problemas de seguridad de Google Play. Muchos de estos tipos de cuentas se han utilizado para engañar a los usuarios para que descarguen aplicaciones maliciosas que pensaban que eran legítimas, cargar aplicaciones fraudulentas, etc. Sin embargo, agregar información de contacto y verificación en dos pasos no ayuda mucho a solucionar otros problemas como la clonación de aplicaciones o el secuestro de cuentas de desarrollador.

Vista lateral de primer plano de un grupo de desarrolladores de software frente a varias pantallas de computadora — gilaxia / Getty Images

"Esta noticia plantea bastantes preguntas sobre cuáles son las intenciones de Google y qué significan estos cambios tanto para los desarrolladores como para los usuarios", continuó Brown. "Los temas como aplicaciones falsas con reseñas falsas (a menudo compradas por spammers) seguirán existiendo. Google ha prometido ajustar las cosas durante algún tiempo, pero este último cambio solo ha fijado una fecha para la actualización ".

Si bien las nuevas medidas de seguridad de la cuenta de desarrollador de Google definitivamente ayudarán, hay más que pueden y deben hacer para resolver el resto de los problemas conocidos de Google Play. Brown sugiere una opción para que los desarrolladores le digan a Google que están verificados cuando denuncien software malicioso y aplicaciones no deseadas, así como que Google intervenga en circunstancias "extremas". Esto facilitaría que Google conozca y maneje aplicaciones maliciosas, al tiempo que brinda a los desarrolladores examinados una forma más confiable de informar aplicaciones y cuentas cuestionables.

"La solución implementada por Google es prometedora y es un buen comienzo para lidiar con los ciberataques".

Chan quiere abordar la piratería y las interrupciones de cuentas de manera más directa, lo que sugiere requisitos de autenticación multifactor aún más estrictos, como códigos y reconocimiento facial. También se recomendaron la autorización basada en tokens y la identificación basada en certificados como un medio para proporcionar a las cuentas de desarrollador una verificación de usuario aún más sólida. Estas medidas harían mucho más difícil tomar el control de la cuenta de un desarrollador establecido y posiblemente evitarían que se cargue software malicioso en su nombre.

Al final, tanto Brown como Chan están de acuerdo en que Google tiene un comienzo prometedor y esperan que las mejoras de seguridad de la cuenta del desarrollador no terminen aquí.