Dichtbij
Menu

Google's Play-beveiligingsoplossing voor ontwikkelaars is een goed begin

click fraud protection
  • Google Play heeft sinds het begin met verschillende beveiligingsproblemen te maken gehad, waarbij Google eindelijk het gebrek aan verificatie van het maken van accounts aanpakt.
  • Hoewel een juiste verificatie van het maken van een account helpt om de stroom van het maken van meerdere branderaccounts tegen te gaan, wordt niet alles aangepakt.
  • Google moet nog steeds iets doen aan het kapen van ontwikkelaarsaccounts, het klonen van apps, nep-app-recensies en meer.
Een vingerafdruk wordt weergegeven op een mobiele telefoon terwijl het Google-logo wordt weergegeven op een computerscherm

Leon Neal / Getty Images

Google is onlangs begonnen met het vereisen van extra verificatie voor Google Play-ontwikkelaarsaccounts - een reactie op kwaadwillende partijen die batches van accounts maken om te verkopen - maar het zou meer kunnen doen.

De beveiliging van ontwikkelaarsaccounts op Google Play heeft niet het beste trackrecord gehad, waarbij basisregistratie geen enkele vorm van verificatie van contactgegevens vereist. Sommige groepen maakten misbruik van dit toezicht om meerdere accounts aan te maken en die accounts vervolgens te verkopen aan mensen die malware, scam-apps, enzovoort zouden uploaden. Google

recent geüpdatet het maken van ontwikkelaarsaccounts om verificatie van contactgegevens voor nieuwe accounts te vereisen, maar het is meer een goed begin dan een volledig antwoord op lopende problemen.

"Het is een stap in de goede richting voor Google, aangezien het zijn inkomstenbron begint te beschermen", zegt Katherine Brown, de oprichter van Spyic, in een e-mailinterview met Lifewire: "Het zal gebruikers ook beschermen tegen schetsmatige of kwaadaardige apps die op de markt verschijnen, aangezien ze zullen worden verwijderd."

Een goede eerste stap

Door nieuwe Google Play-ontwikkelaarsaccounts te verplichten hun contactgegevens te verifiëren, maakt Google het moeilijker (maar niet onmogelijk) om gemakkelijk meerdere accounts tegelijk te maken. Door verificatie een optie te maken voor bestaande accounts, kunnen legitieme ontwikkelaars ook beter worden beschermd tegen hackpogingen en nepaccounts die hun identiteit kunnen overnemen.

Illustratie van Google's authenticatie in twee stappen op Android

Google

Tweestapsverificatie is ook gepland voor augustus 2021 en is vereist voor alle nieuwe ontwikkelaarsaccounts zodra deze zijn geïmplementeerd. De toegevoegde hindernis maakt het nog moeilijker (maar nog steeds niet onmogelijk) voor slechte acteurs om te profiteren van het maken van Google Play-accounts, hoewel het nog niet van kracht is geworden.

"De door Google geïmplementeerde oplossing is veelbelovend en het is een goed begin om cyberhacks aan te pakken", zegt Harriet Chan, medeoprichter van CocoFinder, in een e-mailinterview: "Het zou beter zijn als ze deze techniek zo snel mogelijk insluiten."

Google is van plan om later dit jaar verificatie van contactgegevens en tweestapsverificatie verplicht te stellen, zelfs voor gevestigde ontwikkelaarsaccounts. Dit zal velen er waarschijnlijk van weerhouden om batches van nep-ontwikkelaarsaccounts te maken, maar meerdere branderaccounts is slechts een van de vele problemen van Google Play.

Al de rest

Een berg eenmalige branderaccounts en valse ontwikkelaarsaccounts hebben zeker bijgedragen aan de beveiligingsproblemen van Google Play. Veel van dit soort accounts zijn gebruikt om gebruikers te misleiden om kwaadaardige apps te downloaden waarvan ze dachten dat ze legitiem waren, om scam-apps te uploaden, enz. Het toevoegen van contactgegevens en tweestapsverificatie doet echter niet veel om andere problemen aan te pakken, zoals het klonen van apps of het kapen van ontwikkelaarsaccounts.

Close-up zijaanzicht van een groep softwareontwikkelaars voor meerdere computerschermen

gilaxia / Getty Images

"Dit nieuws roept nogal wat vragen op over wat de bedoelingen van Google zijn en wat deze veranderingen betekenen voor zowel ontwikkelaars als gebruikers", vervolgde Brown. "Onderwerpen zoals nep-apps met neprecensies (vaak gekocht door spammers) zullen nog steeds bestaan. Google belooft al een tijdje om de zaken aan te scherpen, maar deze laatste wijziging heeft alleen een datum vastgesteld voor wanneer de update zal plaatsvinden."

Hoewel de nieuwe beveiligingsmaatregelen voor ontwikkelaarsaccounts van Google zeker zullen helpen, is er meer dat ze kunnen en moeten doen om de rest van de bekende problemen van Google Play aan te pakken. Brown suggereert een optie voor ontwikkelaars om Google te laten weten dat ze zijn geverifieerd bij het rapporteren van malware en spam-apps, en om Google te laten ingrijpen tijdens "extreme" omstandigheden. Dit zou het voor Google gemakkelijker maken om kwaadaardige apps te leren kennen en ermee om te gaan, terwijl doorgelichte ontwikkelaars ook een betrouwbaardere manier krijgen om dubieuze apps en accounts te rapporteren.

"De door Google geïmplementeerde oplossing is veelbelovend en het is een goed begin om cyberhacks aan te pakken."

Chan wil hacking en onderbrekingen van accounts directer aanpakken, en suggereert nog sterkere vereisten voor meervoudige authenticatie, zoals codes en gezichtsherkenning. Op tokens gebaseerde autorisatie en op certificaten gebaseerde identificatie werden ook aanbevolen als een manier om ontwikkelaarsaccounts te voorzien van een nog solidere gebruikersverificatie. Deze maatregelen zouden het veel moeilijker maken om de controle over het account van een gevestigde ontwikkelaar over te nemen en mogelijk te voorkomen dat schadelijke software op hun naam wordt geüpload.

Uiteindelijk zijn zowel Brown als Chan het erover eens dat Google een veelbelovende start heeft en hopen dat de verbeteringen aan de beveiliging van de ontwikkelaarsaccount hier niet eindigen.