Blisko
Menu

Rozwiązanie zabezpieczające dla programistów Google Play to dobry początek

  • Google Play od samego początku borykał się z kilkoma problemami związanymi z bezpieczeństwem, a Google w końcu rozwiązał problem braku weryfikacji tworzenia konta.
  • Prawidłowa weryfikacja tworzenia kont pomaga powstrzymać proces tworzenia kont z wieloma palnikami, ale nie rozwiązuje wszystkiego.
  • Google wciąż musi coś zrobić z przejmowaniem kont programistów, klonowaniem aplikacji, fałszywymi recenzjami aplikacji i nie tylko.
Odcisk palca jest wyświetlany na telefonie komórkowym, podczas gdy logo Google jest wyświetlane na monitorze komputera

Leon Neal / Getty Images

Google niedawno zaczęło wymagać dodatkowej weryfikacji kont programistów Google Play – w odpowiedzi na złośliwe strony tworzące partie kont do sprzedaży – ale może robić więcej.

Bezpieczeństwo konta programisty w Google Play nie ma najlepszych osiągnięć, a podstawowa rejestracja nie wymaga żadnej formy weryfikacji danych kontaktowych. Niektóre grupy wykorzystywały to przeoczenie do tworzenia wielu kont, a następnie sprzedawały je osobom, które przesyłały złośliwe oprogramowanie, oszukańcze aplikacje i tak dalej. Google Ostatnio zaktualizowane tworzenie kont programistów, aby wymagać weryfikacji danych kontaktowych dla nowych kont, ale jest to bardziej przyzwoity początek niż kompletna odpowiedź na bieżące problemy.

„Jest to krok we właściwym kierunku dla Google, ponieważ zaczyna ono chronić swoje źródło przychodów” – powiedziała Katherine Brown, założycielka Spyicw e-mailowym wywiadzie dla Lifewire: „Ochroni również użytkowników przed podejrzanymi lub złośliwymi aplikacjami pojawiającymi się na rynku, gdy zostaną usunięte”.

Dobry pierwszy krok

Wymagając od nowych kont programistów Google Play weryfikacji ich danych kontaktowych, Google utrudnia (choć nie uniemożliwia) łatwe tworzenie wielu kont jednocześnie. Włączenie opcji weryfikacji dla istniejących kont pomaga również lepiej chronić legalnych programistów przed próbami włamań i fałszywymi kontami, które mogą dokooptować ich tożsamość.

Ilustracja przedstawiająca weryfikację dwuetapową Google w systemie Android

Google

Weryfikacja dwuetapowa jest również planowana na sierpień 2021 r. i będzie wymagana dla wszystkich nowych kont programistów po ich wdrożeniu. Dodatkowa przeszkoda jeszcze bardziej utrudni (choć nadal nie jest niemożliwa) złym aktorom korzystanie z tworzenia kont Google Play, chociaż jeszcze nie weszło to w życie.

„Rozwiązanie wdrożone przez Google jest obiecujące i jest dobrym początkiem walki z cyberhakami” – powiedziała Harriet Chan, współzałożycielka CocoFinder, w rozmowie e-mailowej: „Byłoby lepiej, gdyby jak najszybciej wprowadzili tę technikę”.

Jeszcze w tym roku Google planuje wprowadzić obowiązek weryfikacji danych kontaktowych i weryfikacji dwuetapowej, nawet w przypadku ustanowionych kont programistów. Prawdopodobnie zniechęci to wielu do tworzenia partii fałszywych kont programistów, ale wiele kont nagrywarek to tylko jeden z wielu problemów Google Play.

Wszystko inne

Na pewno do problemów z bezpieczeństwem Google Play przyczyniła się góra jednorazowych kont nagrywarek i fałszywych kont programistów. Wiele z tego typu kont było używanych do nakłaniania użytkowników do pobierania złośliwych aplikacji, które uważali za legalne, przesyłania aplikacji oszustów itp. Dodanie informacji kontaktowych i weryfikacji dwuetapowej nie rozwiązuje jednak zbyt wiele innych problemów, takich jak klonowanie aplikacji lub przejmowanie konta programisty.

Zbliżenie z boku na grupę programistów przed wieloma ekranami komputerów

gilaxia / Getty Images

„Ta wiadomość rodzi wiele pytań o to, jakie są intencje Google i co te zmiany oznaczają zarówno dla programistów, jak i użytkowników” – powiedział Brown. „Tematy takie jak fałszywe aplikacje z fałszywymi recenzjami (często kupowane przez spamerów) będą nadal istnieć. Google od pewnego czasu obiecuje zaostrzyć sytuację, ale ta najnowsza zmiana wyznaczyła tylko datę, kiedy nastąpi aktualizacja”.

Chociaż nowe środki bezpieczeństwa konta programisty Google z pewnością pomogą, mogą i powinni zrobić więcej, aby poradzić sobie z pozostałymi znanymi problemami Google Play. Brown sugeruje programistom możliwość poinformowania Google, że są zweryfikowani podczas zgłaszania złośliwych aplikacji i aplikacji spamowych, a także ingerencji Google w „ekstremalnych” okolicznościach. Ułatwiłoby to Google zdobywanie wiedzy o złośliwych aplikacjach i radzenie sobie z nimi, a jednocześnie dałoby sprawdzonym programistom bardziej niezawodny sposób zgłaszania wątpliwych aplikacji i kont.

„Rozwiązanie wdrożone przez Google jest obiecujące i stanowi dobry początek walki z cyberhakami”.

Chan chce bardziej bezpośrednio zająć się włamywaniem do konta i przerwami, sugerując jeszcze ostrzejsze wymagania dotyczące uwierzytelniania wieloskładnikowego, takie jak kody i rozpoznawanie twarzy. Autoryzacja za pomocą tokena i identyfikacja za pomocą certyfikatu były również zalecane jako sposób na zapewnienie kont programistów jeszcze bardziej solidnej weryfikacji użytkowników. Środki te znacznie utrudniłyby przejęcie kontroli nad ustalonym kontem programisty i potencjalnie zapobiegłyby przesyłaniu złośliwego oprogramowania w jego imieniu.

W końcu zarówno Brown, jak i Chan zgadzają się, że Google ma obiecujący początek i mają nadzieję, że ulepszenia bezpieczeństwa konta programisty nie zakończą się tutaj.