Googlova varnostna rešitev za razvijalce Play je dober začetek

December 02, 2021
VNovice Internet In Varnost

Google Play se že od začetka sooča z več težavami, povezanimi z varnostjo, pri čemer je Google končno obravnaval pomanjkanje preverjanja ustvarjanja računa.
Čeprav pravilno preverjanje ustvarjanja računa pomaga zaustaviti tok ustvarjanja računov z več zapisovalniki, ne obravnava vsega.
Google mora še vedno nekaj storiti glede ugrabitve računa razvijalca, kloniranja aplikacij, lažnih pregledov aplikacij in drugega.

Odtis palca je prikazan na mobilnem telefonu, medtem ko je Googlov logotip prikazan na računalniškem monitorju — Leon Neal / Getty Images

Google je pred kratkim začel zahtevati dodatno preverjanje za račune razvijalcev za Google Play – odgovor na zlonamerne strani, ki ustvarjajo serije računov za prodajo – vendar bi lahko naredil več.

Varnost računa razvijalca v Googlu Play ni imela najboljših dosežkov, saj osnovna prijava ne zahteva nobene oblike preverjanja kontaktnih podatkov. Nekatere skupine so ta nadzor izkoristile za ustvarjanje več računov, nato pa te račune prodajale ljudem, ki bi nalagali zlonamerno programsko opremo, prevarantske aplikacije itd. Google nedavno posodobljeno ustvarjanje računa razvijalca zahteva preverjanje kontaktnih podatkov za nove račune, vendar je to bolj dostojen začetek kot popoln odgovor na stalne težave.

"To je korak v pravo smer za Google, saj začne varovati svoj vir prihodkov," je dejala Katherine Brown, ustanoviteljica Vohunski, v e-poštnem intervjuju z Lifewire: "Prav tako bo zaščitil uporabnike pred nazornimi ali zlonamernimi aplikacijami, ki so predstavljene na trgu, saj bodo odstranjene."

Dober prvi korak

Z zahtevami, da novi računi razvijalcev za Google Play preverijo svoje kontaktne podatke, Google otežuje (čeprav ne nemogoče) preprosto ustvarjanje več računov hkrati. Možnost preverjanja za obstoječe račune pomaga tudi pri boljši zaščiti zakonitih razvijalcev pred poskusi vdorov in lažnih računov, ki lahko privzamejo njihovo identiteto.

Ilustracija, ki prikazuje Googlovo preverjanje v dveh korakih za Android — Google

Za avgust 2021 je načrtovano tudi preverjanje v dveh korakih in bo potrebno za vse nove račune razvijalcev, ko bo uvedeno. Dodatna ovira bo slabim igralcem še težje (čeprav še vedno ne nemogoče) otežila izkoristek ustvarjanja računov Google Play, čeprav še ni začela veljati.

"Rešitev, ki jo izvaja Google, je obetavna in je dober začetek za spopadanje s kibernetskimi vdori," je dejala Harriet Chan, soustanoviteljica CocoFinder, v e-poštnem intervjuju: "Bolje bi bilo, če bi to tehniko vgradili čim hitreje."

Google načrtuje, da bo preverjanje podrobnosti o stiku in preverjanje v dveh korakih obvezno, tudi za uveljavljene račune razvijalcev, pozneje v tem letu. To bo verjetno mnoge odvrnilo od ustvarjanja serije lažnih računov razvijalcev, vendar je več računov za zapisovalnike le ena od številnih težav Google Play.

Vse ostalo

Zagotovo je k varnostnim težavam Googla Play prispevala gora enkratnih računov za zapisovalnike in lažnih računov razvijalcev. Številne od teh vrst računov so bile uporabljene za zavajanje uporabnikov, da prenesejo zlonamerne aplikacije, za katere so menili, da so zakonite, naložijo prevarantske aplikacije itd. Vendar dodajanje kontaktnih podatkov in preverjanje v dveh korakih ne pomaga veliko pri reševanju drugih težav, kot sta kloniranje aplikacije ali ugrabitev računa razvijalca.

Stranski pogled od blizu skupine razvijalcev programske opreme pred več računalniškimi zasloni — gilaksija / Getty Images

"Ta novica sproža kar nekaj vprašanj o tem, kakšni so Googlovi nameni in kaj te spremembe pomenijo tako za razvijalce kot za uporabnike," je nadaljeval Brown. "Teme, kot so lažne aplikacije z lažnimi ocenami (ki jih pogosto kupujejo pošiljatelji neželene pošte), bodo še vedno obstajale. Google že nekaj časa obljublja, da bo poostril stvari, vendar je ta zadnja sprememba določila le datum, ko se bo posodobitev zgodila."

Čeprav bodo Googlovi novi varnostni ukrepi za račun razvijalca zagotovo pomagali, lahko in bi morali storiti več, da bi se spopadli s preostalimi znanimi težavami v Googlu Play. Brown predlaga možnost, da razvijalci sporočijo Googlu, da so preverjeni, ko poročajo o zlonamerni programski opremi in aplikacijah za neželeno pošto, pa tudi, da Google posega v "ekstremnih" okoliščinah. To bi Googlu olajšalo učenje o zlonamernih aplikacijah in ravnanje z njimi, hkrati pa bi preverjenim razvijalcem omogočilo bolj zanesljiv način za prijavo vprašljivih aplikacij in računov.

"Rešitev, ki jo izvaja Google, je obetavna in je dober začetek za spopadanje s kibernetskimi vdori."

Chan želi bolj neposredno obravnavati vdor v račun in prekinitve, kar predlaga še močnejše zahteve za večfaktorsko preverjanje pristnosti, kot so kode in prepoznavanje obraza. Avtorizacija na podlagi žetonov in identifikacija na podlagi potrdil sta bila priporočena tudi kot sredstvo za zagotavljanje še bolj zanesljivega preverjanja uporabnikov za račune razvijalcev. Ti ukrepi bi bistveno otežili prevzem nadzora nad računom uveljavljenega razvijalca in bi lahko preprečili nalaganje zlonamerne programske opreme v njihovem imenu.

Na koncu se tako Brown kot Chan strinjata, da ima Google obetaven začetek, in upata, da se izboljšave varnosti računa razvijalca ne bodo končale tukaj.