Kulcs elvitelek
- A Google Play kezdete óta számos, biztonsággal kapcsolatos problémával küzd, és a Google végre megoldotta a fióklétrehozás ellenőrzésének hiányát.
- Bár a megfelelő fióklétrehozás ellenőrzése segít megállítani a több író fiók létrehozásának folyamatát, nem foglalkozik mindennel.
- A Google-nak még tennie kell valamit a fejlesztői fiókok eltérítésével, az alkalmazások klónozásával, a hamis alkalmazásértékelésekkel és egyebekkel szemben.
A Google a közelmúltban megkezdte a Google Play fejlesztői fiókok további ellenőrzésének megkövetelését – válaszul a rosszindulatú feleknek, akik fiókokat hoztak létre értékesítés céljából, de ennél többet is tehetne.
A fejlesztői fiókok biztonsága a Google Playen nem a legjobb eredményeket érte el, az alapvető regisztrációhoz nincs szükség semmilyen kapcsolattartási adatok ellenőrzésére. Egyes csoportok ezt a felügyeletet kihasználva több fiókot hoztak létre, majd eladták ezeket a fiókokat olyan embereknek, akik rosszindulatú programokat, átverő alkalmazásokat és így tovább töltenek fel. A Google a közelmúltban frissítette a fejlesztői fiókok létrehozását, hogy az új fiókoknál megkövetelje a kapcsolattartási adatok ellenőrzését, de ez inkább egy tisztességes kezdet, mintsem teljes válasz a folyamatban lévő problémákra.
"Ez egy jó irányba tett lépés a Google számára, mivel elkezdi védeni bevételi forrását" - mondta Katherine Brown, a Spyic alapítója a Lifewire-nek adott e-mailes interjújában. vázlatos vagy rosszindulatú alkalmazások, amelyek megjelennek a piacon, mivel azokat eltávolítják."
Egy jó első lépés
Azzal, hogy az új Google Play fejlesztői fiókoknak megköveteli kapcsolatfelvételi adataik ellenőrzését, a Google megnehezíti (bár nem lehetetlen) több fiók egyszerű létrehozását egyszerre. A meglévő fiókok ellenőrzésének lehetőségként való megadása segít jobban megvédeni a törvényes fejlesztőket a hackelési kísérletektől és a hamis fiókoktól, amelyek esetleg kooptizálják személyazonosságukat.
A kétlépcsős azonosítást szintén 2021 augusztusára tervezzük, és a bevezetést követően minden új fejlesztői fióknál kötelező lesz. A hozzáadott akadály még nehezebbé teszi (bár még mindig nem lehetetlen) a rossz színészek számára, hogy kihasználják a Google Play-fiókok létrehozását, bár ez még nem lépett érvénybe.
"A Google által megvalósított megoldás ígéretes, és ez jó kezdet a kiberhackek elleni küzdelemhez" - mondta Harriet Chan, a CocoFinder társalapítója egy e-mailes interjúban: "Jobb lenne, ha beágyaznák ezt a technikát a lehető leggyorsabban."
A Google azt tervezi, hogy még ebben az évben kötelezővé teszi a kapcsolattartási adatok ellenőrzését és a kétlépcsős azonosítást, még a már létrehozott fejlesztői fiókok esetében is. Ez valószínűleg sokakat visszatart attól, hogy hamis fejlesztői fiókokat hozzanak létre, de a több író fiók csak egy a Google Play számos problémája közül.
Minden más
Az egyszeri fiókok és a hamis fejlesztői fiókok rengetege járult hozzá a Google Play biztonsági problémáihoz. Az ilyen típusú fiókok közül sokat arra használtak, hogy rávegyék a felhasználókat, hogy töltsenek le rosszindulatú alkalmazásokat, amelyekről azt gondolták, hogy jogosak, töltsenek fel átverő alkalmazásokat stb. A kapcsolattartási adatok és a kétlépcsős azonosítás nem sokat segít az egyéb problémák, például az alkalmazásklónozás vagy a fejlesztői fiók megoldásában. eltérítés azonban.
"Ez a hír elég sok kérdést vet fel azzal kapcsolatban, hogy mik a Google szándékai, és mit jelentenek ezek a változtatások a fejlesztők és a felhasználók számára egyaránt" - folytatta Brown. "Továbbra is léteznek olyan témák, mint a hamis értékeléseket tartalmazó hamis alkalmazások (amelyeket gyakran a spammerek vásárolnak meg). A Google egy ideje ígéri, hogy szigorítja a dolgokat, de ez a legutóbbi változtatás csak dátumot szabott meg a frissítés időpontjára."
Bár a Google új fejlesztői fiókjainak biztonsági intézkedései minden bizonnyal segíteni fognak, még többet tudnak és kell is tenniük a Google Play többi ismert problémájának megoldása érdekében. Brown azt javasolja, hogy a fejlesztők közöljék a Google-lal, hogy ellenőrizve vannak, amikor rosszindulatú programokat és spam-alkalmazásokat jelentenek, valamint azt, hogy a Google lépjen közbe „extrém” körülmények között. Ez megkönnyítené a Google számára a rosszindulatú alkalmazások megismerését és kezelését, ugyanakkor az ellenőrzött fejlesztők számára megbízhatóbb módot adna a megkérdőjelezhető alkalmazások és fiókok bejelentésére.
A Google által megvalósított megoldás ígéretes, és ez egy jó kezdet a kiberhackekkel szemben.
Chan közvetlenebbül szeretne kezelni a fiókfeltöréseket és a megszakításokat, ami még szigorúbb többtényezős hitelesítési követelményeket javasol, mint például a kódok és az arcfelismerés. A token alapú engedélyezést és a tanúsítvány alapú azonosítást is javasolták, hogy a fejlesztői fiókokat még szilárdabb felhasználói ellenőrzéssel biztosítsák. Ezek az intézkedések jóval megnehezítenék egy bejáratott fejlesztő fiókja feletti ellenőrzést, és potenciálisan megakadályoznák, hogy rosszindulatú szoftvereket töltsenek fel a nevükre.
Végül Brown és Chan is egyetért abban, hogy a Google ígéretesen indult, és remélik, hogy a fejlesztői fiókok biztonsági fejlesztései ezzel nem érnek véget.
