Ключови изводи
- Google Play се занимава с няколко проблема, свързани със сигурността от създаването си, като Google най-накрая се справи с липсата на проверка за създаване на акаунт.
- Въпреки че правилното потвърждаване на създаването на акаунт помага за спиране на потока от създаване на множество акаунти за записване, то не се отнася за всичко.
- Google все още трябва да направи нещо по отношение на отвличането на акаунти на програмисти, клонирането на приложения, фалшивите рецензии на приложения и други.
Наскоро Google започна да изисква допълнителна проверка за акаунти на разработчици в Google Play – отговор на злонамерени страни, създаващи партиди от акаунти за продажба – но може да направи повече.
Сигурността на акаунта на програмист в Google Play не е с най-добри резултати, като основната регистрация не изисква каквато и да е форма на потвърждение на данните за контакт. Някои групи използваха този пропуск, за да създадат множество акаунти, след което продаваха тези акаунти на хора, които качваха зловреден софтуер, измамни приложения и т.н. Google наскоро актуализира създаването на акаунт на програмист, за да изисква потвърждение на информацията за връзка за нови акаунти, но това е по-скоро добро начало, отколкото пълен отговор на текущи проблеми.
„Това е ход в правилната посока за Google, тъй като започва да защитава източника си на приходи,“каза Катрин Браун, основателят на Spyic, в имейл интервю за Lifewire, „Това също ще защити потребителите от схематични или злонамерени приложения, представени на пазара, тъй като ще бъдат премахнати."
Добра първа стъпка
Като изисква новите акаунти на разработчици в Google Play да потвърждават информацията си за връзка, Google прави по-трудно (макар и не невъзможно) лесното създаване на няколко акаунта наведнъж. Превръщането на проверката в опция за съществуващи акаунти също помага за по-добра защита на легитимните разработчици от опити за хакване и фалшиви акаунти, които могат да кооптират тяхната самоличност.
Проверката в две стъпки също е планирана за август 2021 г. и ще се изисква за всички нови акаунти на разработчици, след като бъдат внедрени. Добавеното препятствие ще направи още по-трудно (макар че все още не е невъзможно) за лошите актьори да се възползват от създаването на акаунти в Google Play, въпреки че все още не е влязло в сила.
„Решението, въведено от Google, е обещаващо и е добро начало за справяне с кибер хакове“, каза Хариет Чан, съосновател на CocoFinder, в интервю по имейл, „Би било по-добре, ако вграждат тази техника възможно най-бързо."
Google планира да направи потвърждаването на данните за контакт и потвърждаването в две стъпки задължителни, дори за установени акаунти на разработчици, по-късно тази година. Това вероятно ще възпре мнозина от създаването на партиди от фалшиви акаунти на разработчици, но множество акаунти за записване са само един от многото проблеми на Google Play.
Всичко останало
Планината от еднократни записващи акаунти и фалшиви акаунти на разработчици със сигурност са допринесли за проблемите със сигурността на Google Play. Много от тези типове акаунти са били използвани, за да подмамят потребителите да изтеглят злонамерени приложения, които смятат за легитимни, да качват измамни приложения и т.н. Добавянето на информация за контакт и потвърждаването в две стъпки не помага много за справяне с други проблеми като клониране на приложения или акаунт на програмист отвличане обаче.
„Тази новина повдига доста въпроси за това какви са намеренията на Google и какво означават тези промени както за разработчиците, така и за потребителите“, каза Браун. „Теми като фалшиви приложения с фалшиви отзиви (често купени от спамъри) ще продължат да съществуват. Google обещава да затегне нещата от известно време, но тази последна промяна само определи дата, когато актуализацията ще се случи."
Въпреки че новите мерки за сигурност на акаунта на програмист на Google определено ще помогнат, те могат и трябва да направят повече, за да се справят с останалите известни проблеми на Google Play. Браун предлага опция за разработчиците да кажат на Google, че са проверени, когато докладват за зловреден софтуер и спам приложения, както и Google да се намеси при „екстремни“обстоятелства. Това би улеснило Google да научава и да се справя със злонамерени приложения, като същевременно ще даде на проверените разработчици по-надежден начин да докладват за съмнителни приложения и акаунти.
Решението, внедрено от Google, е обещаващо и е добро начало за справяне с кибер хакове.
Chan иска да се справи по-директно с хакването на акаунти и прекъсванията, като предлага още по-строги изисквания за многофакторно удостоверяване като кодове и разпознаване на лица. Упълномощаването, базирано на токени, и идентификацията, базирана на сертификати, също бяха препоръчани като средство за предоставяне на акаунти на разработчици с още по-стабилна потребителска проверка. Тези мерки биха направили много по-трудно поемането на контрол върху акаунта на установен програмист и потенциално биха предотвратили качването на зловреден софтуер от негово име.
В крайна сметка и Браун, и Чан са съгласни, че Google има обещаващо начало и се надяват подобренията в сигурността на акаунта на програмист да не свършат до тук.
