Kiinni
Valikko

Googlen Play Developer Security Solution on hyvä alku

  • Google Play on käsitellyt useita turvallisuuteen liittyviä ongelmia sen perustamisesta lähtien, ja Google on vihdoin korjannut tilin luomisen todentamisen puutteen.
  • Vaikka asianmukainen tilin luomisen vahvistus auttaa pysäyttämään useiden polttimien tilien luomisen, se ei koske kaikkea.
  • Googlen on vielä tehtävä jotain kehittäjätilien kaappaamiseen, sovellusten kloonaukseen, väärennettyihin sovellusten arvosteluihin ja muuhun.
Peukalonjälki näkyy matkapuhelimessa, kun taas Google-logo näkyy tietokoneen näytössä

Leon Neal / Getty Images

Google on äskettäin alkanut vaatia Google Play -kehittäjätilien lisävahvistusta – vastausta pahantahtoisille osapuolille, jotka luovat tilieriä myytäväksi – mutta se voisi tehdä enemmän.

Kehittäjätilin suojaus Google Playssa ei ole ollut parhaimmillaan, sillä peruskirjautuminen ei vaadi minkäänlaista yhteystietojen vahvistusta. Jotkut ryhmät käyttivät tätä valvontaa hyväkseen luodakseen useita tilejä ja myivät sitten nämä tilit ihmisille, jotka lataavat haittaohjelmia, huijaussovelluksia ja niin edelleen. Google Äskettäin päivitetty kehittäjätilin luominen edellyttää uusien tilien yhteystietojen vahvistamista, mutta se on enemmän kunnollinen alku kuin täydellinen vastaus meneillään oleviin ongelmiin.

"Se on liike oikeaan suuntaan Googlelle, kun se alkaa suojella tulolähdettään", sanoi Katherine Brown, Googlen perustaja. Vakoilu, Lifewiren sähköpostihaastattelussa, "Se myös suojaa käyttäjiä luonnollisilta tai haitallisilta sovelluksilta, joita esiintyy markkinoilla, koska ne poistetaan."

Hyvä ensimmäinen askel

Vaadimalla uusia Google Play -kehittäjätilejä vahvistamaan yhteystietonsa, Google tekee useiden tilien luomisesta kerralla vaikeampaa (joskaan ei mahdotonta). Vahvistuksen asettaminen vaihtoehdoksi olemassa oleville tileille auttaa myös paremmin suojaamaan laillisia kehittäjiä hakkerointiyrityksiltä ja väärennetyiltä tileiltä, ​​jotka voivat yhdistää heidän henkilöllisyytensä.

Kuva Googlen 2-vaiheisesta vahvistuksesta Androidissa

Google

Kaksivaiheinen vahvistus on suunniteltu myös elokuulle 2021, ja se vaaditaan kaikilta uusilta kehittäjätileiltä, ​​kun se on otettu käyttöön. Lisätty este vaikeuttaa entisestään (vaikkakaan ei silti mahdotonta) huonojen näyttelijöiden hyödyntää Google Play -tilin luomuksia, vaikka se ei ole vielä astunut voimaan.

"Googlen toteuttama ratkaisu on lupaava, ja se on hyvä alku kyberhakkerointiin", sanoi Harriet Chan, yksi perustajista. CocoFinder, sähköpostihaastattelussa: "Olisi parempi, jos he ottavat tämän tekniikan käyttöön mahdollisimman nopeasti."

Google aikoo tehdä myöhemmin tänä vuonna yhteystietojen vahvistamisen ja kaksivaiheisen vahvistuksen pakolliseksi jopa vakiintuneille kehittäjätileille. Tämä todennäköisesti estää monia luomasta väärennettyjä kehittäjätilejä, mutta useat polttotilit ovat vain yksi Google Playn monista ongelmista.

Kaikki muu

Lukuisat kertaluonteiset tilit ja väärennetyt kehittäjätilit ovat varmasti vaikuttaneet Google Playn tietoturvaongelmiin. Monia tämäntyyppisiä tilejä on käytetty huijaamaan käyttäjiä lataamaan haitallisia sovelluksia, joita he pitivät laillisina, lataamaan huijaussovelluksia jne. Yhteystietojen lisääminen ja kaksivaiheinen vahvistus eivät kuitenkaan ratkaise muita ongelmia, kuten sovellusten kloonausta tai kehittäjätilin kaappausta.

Lähikuva sivukuva ryhmästä ohjelmistokehittäjiä useiden tietokoneen näyttöjen edessä

gilaxia / Getty Images

"Tämä uutinen herättää useita kysymyksiä Googlen aikeista ja mitä nämä muutokset tarkoittavat sekä kehittäjille että käyttäjille", Brown jatkoi. "Aiheet, kuten väärennetyt sovellukset, joissa on vääriä arvosteluja (usein roskapostittajat ostavat), ovat edelleen olemassa. Google on luvannut kiristää asioita jo jonkin aikaa, mutta tämä uusin muutos on vain asettanut päivämäärän, jolloin päivitys tapahtuu."

Vaikka Googlen uudet kehittäjätilien suojaustoimenpiteet auttavat varmasti, ne voivat ja pitäisi tehdä enemmän muiden Google Playn tunnettujen ongelmien ratkaisemiseksi. Brown ehdottaa, että kehittäjät voivat kertoa Googlelle, että he ovat varmennettuja, kun ne ilmoittavat haittaohjelmista ja roskapostisovelluksista, sekä antaa Googlen puuttua asiaan "äärimmäisissä" olosuhteissa. Tämä auttaisi Googlen oppimaan haitallisista sovelluksista ja käsittelemään niitä, ja samalla antaisi tarkastetuille kehittäjille luotettavamman tavan ilmoittaa kyseenalaisista sovelluksista ja tileistä.

"Googlen toteuttama ratkaisu on lupaava, ja se on hyvä alku kyberhakkerointiin."

Chan haluaa puuttua tilien hakkerointiin ja keskeytyksiin suoremmin, mikä ehdottaa entistä tiukempia monitekijätodennusvaatimuksia, kuten koodeja ja kasvojentunnistusta. Token-pohjaista valtuutusta ja varmenteeseen perustuvaa tunnistusta suositeltiin myös keinona tarjota kehittäjätileille entistä vakaampi käyttäjätodennus. Nämä toimenpiteet vaikeuttaisivat huomattavasti vakiintuneen kehittäjän tilin hallintaa ja mahdollisesti estävät haittaohjelmien lataamisen heidän nimissään.

Lopulta sekä Brown että Chan ovat yhtä mieltä siitä, että Googlella on lupaava alku, ja toivovat, että kehittäjätilin tietoturvaparannukset eivät lopu tähän.