Гоогле-ово решење за безбедност програмера за Плаи је добар почетак

December 02, 2021
УВести Интернет и безбедност

Гоогле Плаи се бавио неколико проблема везаних за безбедност од свог почетка, при чему је Гоогле коначно решио недостатак верификације креирања налога.
Иако исправна верификација креирања налога помаже да се заустави ток креирања вишеструких налога за снимање, она не решава све.
Гоогле још увек мора да уради нешто у вези са отмицом налога програмера, клонирањем апликација, лажним рецензијама апликација и још много тога.

Отисак палца се приказује на мобилном телефону док је Гоогле лого приказан на монитору рачунара — Леон Нил / Гетти Имагес

Гоогле је недавно почео да захтева додатну верификацију за налоге програмера на Гоогле Плаи-у – одговор на злонамерне стране које креирају групе налога за продају – али би могао да уради више.

Безбедност налога програмера на Гоогле Плаи-у није била најбоља, са основном регистрацијом која не захтева никакав облик верификације детаља о контакту. Неке групе су користиле овај превид за креирање више налога, а затим продавале те налоге људима који би отпремали малвер, апликације за превару и тако даље. Гоогле недавно Ажурирано Креирање налога програмера захтева верификацију контакт информација за нове налоге, али то је више пристојан почетак него потпуни одговор на текуће проблеме.

„То је потез у правом смеру за Гоогле јер почиње да штити своје изворе прихода“, рекла је Кетрин Браун, оснивач Спииц, у интервјуу путем е-поште за Лифевире, „Такође ће заштитити кориснике од недоречених или злонамерних апликација које се појављују на тржишту пошто ће бити уклоњене.“

Добар први корак

Захтевајући од нових Гоогле Плаи налога програмера да верификују своје контакт информације, Гоогле отежава (иако не и немогуће) лако креирање више налога истовремено. Стављање верификације као опције за постојеће налоге такође помаже у бољој заштити легитимних програмера од покушаја хаковања и лажних налога који могу да кооптирају њихов идентитет.

Илустрација која приказује Гоогле-ову верификацију у 2 корака на Андроид-у — Гоогле

Верификација у два корака је такође планирана за август 2021. и биће потребна за све нове налоге програмера када се имплементирају. Додатна препрека ће отежати (иако још увек не и немогуће) лошим глумцима да искористе предности креирања Гоогле Плаи налога, иако то још није ступило на снагу.

„Решење које је имплементирао Гугл обећава и добар је почетак за решавање сајбер хакова“, рекла је Харијет Чен, суоснивач ЦоцоФиндер, у интервјуу е-поштом, „Било би боље да уграде ову технику што је брже могуће“.

Гоогле планира да верификацију детаља о контакту и верификацију у два корака учини обавезним, чак и за успостављене налоге програмера, касније ове године. Ово ће вероватно одвратити многе од креирања група лажних налога програмера, али вишеструки налог за снимање је само један од многих проблема Гоогле Плаи-а.

Све остало

Брдо једнократних налога за снимање и лажних налога програмера допринели су безбедносним проблемима Гоогле Плаи-а, свакако. Многи од ових типова налога су коришћени да преваре кориснике да преузму злонамерне апликације за које су мислили да су легитимне, отпреме апликације за превару итд. Међутим, додавање информација о контакту и верификације у два корака не доприноси решавању других проблема као што су клонирање апликације или отмица налога програмера.

Поглед из крупног плана на групу програмера софтвера испред више екрана рачунара — гилаксија / Гетти Имагес

„Ова вест покреће доста питања о томе шта су Гуглове намере и шта ове промене значе и за програмере и за кориснике“, рекао је Браун. „Теме попут лажних апликација са лажним рецензијама (које често купују спамери) ће и даље постојати. Гоогле је већ неко време обећавао да ће пооштрити ствари, али ова најновија промена је само одредила датум када ће се ажурирање догодити."

Иако ће Гоогле-ове нове мере безбедности налога програмера дефинитивно помоћи, постоји још много тога што они могу и треба да ураде да би се позабавили осталим познатим проблемима Гоогле Плаи-а. Браун предлаже опцију за програмере да кажу Гоогле-у да су верификовани када пријављују апликације за малвер и нежељену пошту, као и да се Гоогле укључи у „екстремним“ околностима. Ово би олакшало Гоогле-у да научи о злонамерним апликацијама и да се носи са њима, а такође би провереним програмерима дало поузданији начин да пријаве сумњиве апликације и налоге.

„Решење које је имплементирао Гугл обећава и добар је почетак за решавање сајбер хакова.“

Чен жели да се директније позабави хаковањем налога и прекидима, сугеришући још јаче захтеве за вишефакторску аутентификацију као што су кодови и препознавање лица. Ауторизација заснована на токенима и идентификација заснована на сертификатима су такође препоручени као начин да се налозима програмера обезбеде још солиднија верификација корисника. Ове мере би знатно отежале преузимање контроле над налогом успостављеног програмера и потенцијално спречиле да се злонамерни софтвер отпрема на њихово име.

На крају, и Браун и Чен се слажу да Гоогле има обећавајући почетак и надају се да се побољшања безбедности налога програмера неће завршити овде.