Sleutel wegneemetes
- Google Play het sedert sy ontstaan verskeie sekuriteitsverwante probleme hanteer, met Google wat uiteindelik die gebrek aan verifikasie van rekeningskepping aangespreek het.
- Terwyl behoorlike rekeningskeppingsverifikasie help om die vloei van meervoudige branderrekeningskepping te stuit, spreek dit nie alles aan nie.
- Google moet nog iets doen omtrent kaping van ontwikkelaarrekeninge, programkloning, vals programresensies en meer.
Google het onlangs begin om bygevoegde verifikasie vir Google Play-ontwikkelaarrekeninge te vereis - 'n reaksie op kwaadwillige partye wat groepe rekeninge skep om te verkoop - maar dit kan meer doen.
Ontwikkelaarrekeningsekuriteit op Google Play het nie die beste rekord gehad nie, met basiese aansluiting wat geen vorm van kontakbesonderhedeverifikasie vereis nie. Sommige groepe het hierdie toesig uitgebuit om veelvuldige rekeninge te skep, en dan daardie rekeninge te verkoop aan mense wat wanware, bedrogspulprogramme, ensovoorts sou oplaai. Google het onlangs ontwikkelaarrekeningskepping opgedateer om kontakinligtingverifikasie vir nuwe rekeninge te vereis, maar dit is meer 'n ordentlike begin as 'n volledige antwoord op deurlopende kwessies.
"Dit is 'n skuif in die regte rigting vir Google aangesien dit sy bron van inkomste begin beskerm," het Katherine Brown, die stigter van Spyic, in 'n e-posonderhoud met Lifewire gesê, "Dit sal ook gebruikers beskerm teen sketsagtige of kwaadwillige toepassings wat in die mark verskyn, aangesien dit verwyder sal word."
'n Goeie eerste stap
Deur te vereis dat nuwe Google Play-ontwikkelaarrekeninge hul kontakinligting verifieer, maak Google dit moeiliker (hoewel nie onmoontlik nie) om maklik veelvuldige rekeninge gelyktydig te skep. Om verifikasie 'n opsie vir bestaande rekeninge te maak, help ook om wettige ontwikkelaars beter te beskerm teen inbraakpogings en vals rekeninge wat hul identiteit kan koöpteer.
Tweestap-verifikasie word ook vir Augustus 2021 beplan, en sal vereis word vir alle nuwe ontwikkelaarrekeninge sodra dit geïmplementeer is. Die bykomende hindernis sal dit selfs moeiliker maak (hoewel steeds nie onmoontlik nie) vir slegte akteurs om voordeel te trek uit Google Play-rekeningskeppings, hoewel dit nog nie in werking getree het nie.
"Die oplossing wat deur Google geïmplementeer is, is belowend, en dit is 'n goeie begin om kuberkrakers te hanteer," het Harriet Chan, medestigter van CocoFinder, in 'n e-posonderhoud gesê, "Dit sal beter wees as hulle insluit. hierdie tegniek so vinnig as moontlik."
Google beplan om later vanjaar kontakbesonderhedeverifikasie en tweestap-verifikasie verpligtend te maak, selfs vir gevestigde ontwikkelaarrekeninge. Dit sal waarskynlik baie daarvan weerhou om groepe vals ontwikkelaarrekeninge te skep, maar veelvuldige branderrekeninge is slegs een van Google Play se vele probleme.
Alles anders
'n Berg eenmalige branderrekeninge en vals ontwikkelaarrekeninge het verseker bygedra tot Google Play se sekuriteitskwessies. Baie van hierdie tipe rekeninge is gebruik om gebruikers te mislei om kwaadwillige toepassings af te laai wat hulle gedink het wettig is, bedrogspultoepassings op te laai, ens. Die byvoeging van kontakinligting en tweestap-verifikasie doen nie veel om ander probleme soos toepassingkloning of ontwikkelaarrekening aan te spreek nie. kaping egter.
"Hierdie nuus laat 'n hele paar vrae ontstaan oor wat Google se bedoelings is en wat hierdie veranderinge vir beide ontwikkelaars en gebruikers beteken," het Brown verder gesê. "Onderwerpe soos vals toepassings met vals resensies (dikwels deur spammers gekoop) sal steeds bestaan. Google belowe al 'n geruime tyd om dinge op te skerp, maar hierdie jongste verandering het net 'n datum vasgestel vir wanneer die opdatering sal plaasvind."
Terwyl Google se nuwe veiligheidsmaatreëls vir ontwikkelaarrekeninge beslis sal help, is daar meer wat hulle kan en behoort te doen om die res van Google Play se bekende kwessies te hanteer. Brown stel 'n opsie voor vir ontwikkelaars om vir Google te vertel dat hulle geverifieer is wanneer hulle wanware en strooiposprogramme rapporteer, asook dat Google in "uiterste" omstandighede intree. Dit sal dit vir Google makliker maak om van kwaadwillige toepassings te leer en daarmee te handel, terwyl dit ook aan gekeurde ontwikkelaars 'n meer betroubare manier bied om twyfelagtige toepassings en rekeninge aan te meld.
Die oplossing wat deur Google geïmplementeer is, is belowend, en dit is 'n goeie begin om kuberkrakers te hanteer.
Chan wil rekeningkrakery en onderbrekings meer direk aanspreek, wat selfs sterker multifaktor-verifikasievereistes soos kodes en gesigsherkenning voorstel. Tokengebaseerde magtiging en sertifikaatgebaseerde identifikasie is ook aanbeveel as 'n manier om ontwikkelaarrekeninge van selfs meer soliede gebruikerverifikasie te voorsien. Hierdie maatreëls sal dit baie moeiliker maak om beheer oor 'n gevestigde ontwikkelaar se rekening te neem, en moontlik verhoed dat kwaadwillige sagteware in hul naam opgelaai word.
Op die ou end stem beide Brown en Chan saam dat Google 'n belowende begin het, en hoop dat die ontwikkelaarrekeningsekuriteitverbeterings nie hier sal eindig nie.
