Ključni izsledki
- Google Play se od svojega začetka ukvarja z več težavami, povezanimi z varnostjo, pri čemer je Google končno rešil pomanjkanje preverjanja ustvarjanja računa.
- Medtem ko pravilno preverjanje ustvarjanja računa pomaga zaustaviti tok ustvarjanja več računov gorilnikov, ne obravnava vsega.
- Google mora še vedno nekaj narediti glede ugrabitve računa razvijalca, kloniranja aplikacij, lažnih ocen aplikacij in drugega.
Google je pred kratkim začel zahtevati dodatno preverjanje za račune razvijalcev Google Play – odgovor na zlonamerne strani, ki ustvarjajo serije računov za prodajo – vendar bi lahko dosegel več.
Varnost računa razvijalca v Googlu Play ni bila najboljša, saj osnovna prijava ne zahteva nobene oblike preverjanja kontaktnih podatkov. Nekatere skupine so izkoriščale ta spregled za ustvarjanje več računov, nato pa te račune prodajale ljudem, ki so naložili zlonamerno programsko opremo, prevarantske aplikacije itd. Google je nedavno posodobil ustvarjanje računa razvijalca, tako da zahteva preverjanje kontaktnih podatkov za nove račune, vendar je to bolj spodoben začetek kot popoln odgovor na tekoče težave.
»Gre za premik v pravo smer za Google, saj začenja ščititi svoj vir prihodkov,« je dejala Katherine Brown, ustanoviteljica Spyic, v elektronskem intervjuju za Lifewire, »Uporabnike bo zaščitil tudi pred pomanjkljive ali zlonamerne aplikacije, ki se pojavljajo na tržnici, saj bodo odstranjene."
Dober prvi korak
Z zahtevo, da novi računi razvijalcev Google Play preverijo svoje kontaktne podatke, Google otežuje (čeprav ne nemogoče) preprosto ustvarjanje več računov hkrati. Omogočanje preverjanja kot možnosti za obstoječe račune prav tako pomaga bolje zaščititi zakonite razvijalce pred poskusi vdora in lažnimi računi, ki lahko prevzamejo njihovo identiteto.
Preverjanje v dveh korakih je prav tako načrtovano za avgust 2021 in bo zahtevano za vse nove račune razvijalcev, ko bodo implementirani. Dodana ovira bo še bolj otežila (čeprav še vedno ni nemogoče) slabim igralcem, da izkoristijo ustvarjanje računov Google Play, čeprav še ni začela veljati.
»Rešitev, ki jo izvaja Google, je obetavna in je dober začetek za boj proti kibernetskim vdorom,« je v intervjuju po e-pošti dejala Harriet Chan, soustanoviteljica CocoFinderja, »Bolje bi bilo, če bi vgradili to tehniko čim hitreje."
Google namerava pozneje letos uvesti obvezno preverjanje kontaktnih podatkov in preverjanje v dveh korakih, tudi za uveljavljene račune razvijalcev. To bo verjetno mnoge odvrnilo od ustvarjanja serij lažnih računov razvijalcev, vendar je več računov za zapisovanje le ena od številnih težav Google Play.
Vse ostalo
Gora enkratnih računov za zapisovanje in lažnih računov razvijalcev je zagotovo prispevala k varnostnim težavam v Googlu Play. Številne od teh vrst računov so bile uporabljene za pretentanje uporabnikov v prenos zlonamernih aplikacij, za katere so mislili, da so zakonite, nalaganje prevarantskih aplikacij itd. Dodajanje kontaktnih podatkov in preverjanje v dveh korakih ne pomaga veliko pri reševanju drugih težav, kot je kloniranje aplikacij ali račun razvijalca ugrabitev pa.
"Ta novica odpira kar nekaj vprašanj o tem, kaj so Googlovi nameni in kaj te spremembe pomenijo tako za razvijalce kot za uporabnike," je dejal Brown. "Teme, kot so ponarejene aplikacije z lažnimi ocenami (ki jih pogosto kupijo pošiljatelji neželene pošte), bodo še vedno obstajale. Google že nekaj časa obljublja, da bo stvari zaostril, vendar je ta zadnja sprememba le določila datum, ko bo prišlo do posodobitve."
Čeprav bodo Googlovi novi varnostni ukrepi za račun razvijalca zagotovo pomagali, lahko in bi morali storiti še več za reševanje preostalih znanih težav v Googlu Play. Brown predlaga možnost, da razvijalci ob prijavi zlonamerne programske opreme in neželene aplikacije Googlu sporočijo, da so preverjeni, ter da Google posreduje v "ekstremnih" okoliščinah. To bi Googlu olajšalo učenje o zlonamernih aplikacijah in njihovo obravnavo, hkrati pa bi preverjenim razvijalcem omogočilo zanesljivejši način poročanja o vprašljivih aplikacijah in računih.
Rešitev, ki jo izvaja Google, je obetavna in je dober začetek za boj proti kibernetskim vdorom.
Chan želi bolj neposredno obravnavati vdiranje v račun in prekinitve, pri čemer predlaga še strožje zahteve za preverjanje pristnosti z več dejavniki, kot so kode in prepoznavanje obraza. Avtorizacija na podlagi žetonov in identifikacija na podlagi potrdila sta bila priporočena tudi kot sredstvo za zagotavljanje računov razvijalcev s še trdnejšim preverjanjem uporabnikov. Ti ukrepi bi veliko otežili prevzem nadzora nad računom uveljavljenega razvijalca in potencialno preprečili nalaganje zlonamerne programske opreme v njihovem imenu.
Na koncu se Brown in Chan strinjata, da ima Google obetaven začetek, in upata, da se izboljšave varnosti računa razvijalca ne bodo končale tukaj.
