Keeawayt
- Google Play on käsitellyt useita turvallisuuteen liittyviä ongelmia sen perustamisesta lähtien, ja Google on vihdoin korjannut tilin luomisen vahvistamisen puutteen.
- Vaikka tilin luomisen asianmukainen vahvistus auttaa pysäyttämään useiden polttimien tilien luomisen, se ei koske kaikkea.
- Googlen on vielä tehtävä jotain kehittäjätilien kaappauksen, sovellusten kloonauksen, väärennettyjen sovellusarvostelujen ja monen muun suhteen.
Google on hiljattain alkanut vaatia lisävahvistusta Google Play -kehittäjätileille – vastaus pahantahtoisille osapuolille, jotka luovat tilieriä myyntiä varten – mutta se voisi tehdä enemmänkin.
Kehittäjätilin suojaus Google Playssa ei ole ollut parhaimmillaan, sillä peruskirjautuminen ei vaadi minkäänlaista yhteystietojen vahvistusta. Jotkut ryhmät käyttivät tätä valvontaa hyväkseen luodakseen useita tilejä ja myivät sitten nämä tilit ihmisille, jotka lataavat haittaohjelmia, huijaussovelluksia ja niin edelleen. Google päivitti äskettäin kehittäjätilin luomisen edellyttämään uusien tilien yhteystietojen vahvistamista, mutta se on enemmän kunnollinen alku kuin täydellinen vastaus meneillään oleviin ongelmiin.
"Se on askel oikeaan suuntaan Googlelle, kun se alkaa suojella tulolähdettään", sanoi Spyicin perustaja Katherine Brown Lifewiren sähköpostihaastattelussa. "Se suojaa myös käyttäjiä luonnollisia tai haitallisia sovelluksia, jotka esiintyvät markkinoilla, koska ne poistetaan."
Hyvä ensimmäinen askel
Vaadimalla uusia Google Play -kehittäjätilejä vahvistamaan yhteystietonsa, Google vaikeuttaa (joskaan ei mahdotonta) useiden tilien luomista helposti kerralla. Vahvistuksen asettaminen vaihtoehdoksi olemassa oleville tileille auttaa myös suojaamaan laillisia kehittäjiä paremmin hakkerointiyrityksiltä ja väärennetyiltä tileiltä, jotka voivat valita heidän henkilöllisyytensä.
Kaksivaiheinen vahvistus suunnitellaan myös elokuulle 2021, ja se vaaditaan kaikille uusille kehittäjätileille käyttöönoton jälkeen. Lisätty este vaikeuttaa entisestään (joskaan ei silti mahdotonta) huonojen näyttelijöiden mahdollisuuksia hyödyntää Google Play -tilin luomuksia, vaikka se ei ole vielä astunut voimaan.
"Googlen toteuttama ratkaisu on lupaava, ja se on hyvä alku kyberhakkerointiin", sanoi CocoFinderin perustaja Harriet Chan sähköpostihaastattelussa. "Olisi parempi, jos he upottaisivat tätä tekniikkaa mahdollisimman nopeasti."
Google aikoo tehdä myöhemmin tänä vuonna yhteystietojen vahvistamisen ja kaksivaiheisen vahvistuksen pakolliseksi jopa vakiintuneille kehittäjätileille. Tämä todennäköisesti estää monia luomasta väärennettyjä kehittäjätilejä, mutta useat polttotilit ovat vain yksi Google Playn monista ongelmista.
Kaikki muu
Maailman yksittäisiä polttimia ja väärennettyjä kehittäjätilejä on varmasti vaikuttanut Google Playn tietoturvaongelmiin. Monia tämäntyyppisiä tilejä on käytetty huijaamaan käyttäjiä lataamaan haitallisia sovelluksia, joita he pitivät laillisina, lataamaan huijaussovelluksia jne. Yhteystietojen lisääminen ja kaksivaiheinen vahvistus eivät ratkaise muita ongelmia, kuten sovellusten kloonausta tai kehittäjätiliä. kaappauksesta kuitenkin.
"Tämä uutinen herättää useita kysymyksiä Googlen aikeista ja mitä nämä muutokset tarkoittavat sekä kehittäjille että käyttäjille", Brown jatkoi. "Aiheet, kuten väärennetyt sovellukset, joissa on väärennettyjä arvosteluja (usein roskapostittajat ostavat), ovat edelleen olemassa. Google on luvannut tiukentaa asioita jo jonkin aikaa, mutta tämä uusin muutos on vain asettanut päivämäärän, jolloin päivitys tapahtuu."
Vaikka Googlen uudet kehittäjätilien suojaustoimenpiteet auttavat varmasti, ne voivat ja niiden pitäisi tehdä enemmän muiden Google Playn tunnettujen ongelmien ratkaisemiseksi. Brown ehdottaa, että kehittäjät voivat kertoa Googlelle, että he ovat varmennettuja, kun ne ilmoittavat haittaohjelmista ja roskapostisovelluksista, sekä antaa Googlen puuttua asiaan "äärimmäisissä" olosuhteissa. Tämä auttaisi Googlen oppimaan haitallisista sovelluksista ja käsittelemään niitä, ja samalla antaisi tarkastetuille kehittäjille luotettavamman tavan ilmoittaa kyseenalaisista sovelluksista ja tileistä.
Googlen toteuttama ratkaisu on lupaava, ja se on hyvä alku kyberhakkerointiin.
Chan haluaa puuttua tilien hakkerointiin ja keskeytyksiä suoremmin, mikä ehdottaa entistä tiukempia monitekijätodennusvaatimuksia, kuten koodeja ja kasvojentunnistusta. Token-pohjaista v altuutusta ja varmenteeseen perustuvaa tunnistusta suositeltiin myös keinona tarjota kehittäjätileille entistä vakaampi käyttäjätodennus. Nämä toimenpiteet vaikeuttaisivat huomattavasti vakiintuneen kehittäjän tilin hallintaa ja mahdollisesti estävät haittaohjelmien lataamisen heidän nimissään.
Lopuksi sekä Brown että Chan ovat yhtä mieltä siitä, että Googlella on lupaava alku, ja toivovat, että kehittäjätilien tietoturvaparannukset eivät lopu tähän.