Key takeaways
- Google Play har håndteret adskillige sikkerhedsrelaterede problemer siden starten, hvor Google endelig har rettet op på manglen på bekræftelse af kontooprettelse.
- Mens korrekt verifikation af kontooprettelse hjælper med at dæmme op for strømmen af oprettelse af flere brændere, behandler den ikke alt.
- Google skal stadig gøre noget ved kapring af udviklerkonti, appkloning, falske appanmeldelser og meget mere.
Google er for nylig begyndt at kræve tilføjet bekræftelse for Google Play-udviklerkonti - et svar på ondsindede parter, der opretter partier af konti for at sælge - men det kan gøre mere.
Udviklerkontosikkerhed på Google Play har ikke haft den bedste track record, med grundlæggende tilmelding, der ikke kræver nogen form for bekræftelse af kontaktoplysninger. Nogle grupper udnyttede dette tilsyn til at oprette flere konti og solgte derefter disse konti til folk, der ville uploade malware, fup-apps og så videre. Google opdaterede for nylig oprettelse af udviklerkonto for at kræve bekræftelse af kontaktoplysninger for nye konti, men det er mere en anstændig start end et komplet svar på igangværende problemer.
"Det er et skridt i den rigtige retning for Google, da det begynder at beskytte sin indtægtskilde," sagde Katherine Brown, grundlæggeren af Spyic, i et e-mail-interview med Lifewire, "Det vil også beskytte brugere mod sketchy eller ondsindede apps med på markedspladsen, da de vil blive fjernet."
Et godt første skridt
Ved at kræve, at nye Google Play-udviklerkonti skal bekræfte deres kontaktoplysninger, gør Google det sværere (men ikke umuligt) nemt at oprette flere konti på én gang. At gøre verifikation til en mulighed for eksisterende konti hjælper også med at beskytte legitime udviklere bedre mod hackingforsøg og falske konti, der kan optage deres identitet.
Totrinsbekræftelse er også planlagt til august 2021 og vil være påkrævet for alle nye udviklerkonti, når de er implementeret. Den tilføjede forhindring vil gøre det endnu sværere (men stadig ikke umuligt) for dårlige skuespillere at drage fordel af oprettelse af Google Play-kontoer, selvom den ikke er trådt i kraft endnu.
"Løsningen implementeret af Google er lovende, og det er en god start på at håndtere cyberhacks," sagde Harriet Chan, medstifter af CocoFinder, i et e-mailinterview, "Det ville være bedre, hvis de indlejrer denne teknik så hurtigt som muligt."
Google planlægger at gøre bekræftelse af kontaktoplysninger og totrinsbekræftelse obligatorisk, selv for etablerede udviklerkonti, senere på året. Dette vil sandsynligvis afholde mange fra at oprette grupper af falske udviklerkonti, men flere brænderkonti er kun et af Google Plays mange problemer.
Alt andet
Et bjerg af engangs-brænderkonti og falske udviklerkonti har givetvis bidraget til Google Plays sikkerhedsproblemer. Mange af disse typer konti er blevet brugt til at narre brugere til at downloade ondsindede apps, de troede var legitime, uploade fup-apps osv. Tilføjelse af kontaktoplysninger og to-trinsbekræftelse gør ikke meget for at løse andre problemer som app-kloning eller udviklerkonto kapring, dog.
"Denne nyhed rejser en del spørgsmål om, hvad Googles hensigter er, og hvad disse ændringer betyder for både udviklere og brugere," fortsatte Brown med at sige. "Emner som falske apps med falske anmeldelser (ofte købt af spammere) vil stadig eksistere. Google har lovet at stramme op i noget tid, men denne seneste ændring har kun sat en dato for, hvornår opdateringen vil ske."
Mens Googles nye sikkerhedsforanst altninger til udviklerkonto helt sikkert vil hjælpe, er der mere, de kan og bør gøre for at håndtere resten af Google Plays kendte problemer. Brown foreslår en mulighed for udviklere at fortælle Google, at de er verificeret, når de rapporterer malware og spam-apps, samt at få Google til at træde til under "ekstreme" omstændigheder. Dette ville gøre det nemmere for Google at lære om og håndtere ondsindede apps, samtidig med at vurderede udviklere får en mere pålidelig måde at rapportere tvivlsomme apps og konti på.
Løsningen implementeret af Google er lovende, og det er en god start på at håndtere cyberhacks.
Chan ønsker at adressere kontohacking og afbrydelser mere direkte og foreslår endnu stærkere multi-faktor-godkendelseskrav som koder og ansigtsgenkendelse. Token-baseret autorisation og certifikat-baseret identifikation blev også anbefalet som et middel til at give udviklerkonti en endnu mere solid brugerverifikation. Disse foranst altninger ville gøre det langt sværere at tage kontrol over en etableret udviklers konto og potentielt forhindre, at skadelig software uploades i deres navn.
I sidste ende er både Brown og Chan enige om, at Google har en lovende start, og håber, at sikkerhedsforbedringerne for udviklerkontoen ikke slutter her.
