Key takeaways
- Google Play har håndtert flere sikkerhetsrelaterte problemer siden starten, og Google har endelig tatt tak i mangelen på bekreftelse av kontooppretting.
- Selv om riktig verifisering av kontooppretting bidrar til å stoppe strømmen av kontoopprettelse med flere brennere, tar den ikke opp alt.
- Google må fortsatt gjøre noe med kapring av utviklerkontoer, appkloning, falske appanmeldelser og mer.
Google har nylig begynt å kreve ekstra bekreftelse for Google Play-utviklerkontoer – et svar på at ondsinnede parter oppretter grupper med kontoer for å selge – men det kan gjøre mer.
Utviklerkontosikkerhet på Google Play har ikke hatt de beste resultater, med grunnleggende registrering som ikke krever noen form for bekreftelse av kontaktdetaljer. Noen grupper utnyttet denne kontrollen til å opprette flere kontoer, og solgte deretter disse kontoene til folk som lastet opp skadelig programvare, svindelapper og så videre. Google oppdaterte nylig opprettelsen av utviklerkontoer for å kreve bekreftelse av kontaktinformasjon for nye kontoer, men det er mer en anstendig start enn et fullstendig svar på pågående problemer.
"Det er et trekk i riktig retning for Google når det begynner å beskytte inntektskilden," sa Katherine Brown, grunnleggeren av Spyic, i et e-postintervju med Lifewire, "Det vil også beskytte brukere mot skisseaktige eller ondsinnede apper som vises på markedsplassen ettersom de vil bli fjernet."
Et godt første skritt
Ved å kreve at nye Google Play-utviklerkontoer bekrefter kontaktinformasjonen deres, gjør Google det vanskeligere (men ikke umulig) å enkelt opprette flere kontoer samtidig. Å gjøre verifisering til et alternativ for eksisterende kontoer bidrar også til å bedre beskytte legitime utviklere mot hackingforsøk og falske kontoer som kan bruke identiteten deres.
To-trinns bekreftelse er også planlagt i august 2021, og vil kreves for alle nye utviklerkontoer når de er implementert. Den ekstra hindringen vil gjøre det enda vanskeligere (men fortsatt ikke umulig) for dårlige skuespillere å dra nytte av Google Play-kontoopprettelser, selv om det ikke har trådt i kraft ennå.
"Løsningen implementert av Google er lovende, og det er en god start på å håndtere cyberhacks," sa Harriet Chan, medgründer av CocoFinder, i et e-postintervju, "Det ville vært bedre om de integrerer denne teknikken så raskt som mulig."
Google planlegger å gjøre bekreftelse av kontaktdetaljer og totrinnsverifisering obligatorisk, selv for etablerte utviklerkontoer, senere i år. Dette vil sannsynligvis avskrekke mange fra å opprette grupper med falske utviklerkontoer, men flere brennerkontoer er bare ett av Google Plays mange problemer.
Alt annet
Et berg av engangs-brenner-kontoer og falske utviklerkontoer har bidratt til Google Plays sikkerhetsproblemer. Mange av disse kontotypene har blitt brukt til å lure brukere til å laste ned skadelige apper de trodde var legitime, laste opp svindelapper osv. Å legge til kontaktinformasjon og totrinnsverifisering gjør ikke mye for å løse andre problemer som appkloning eller utviklerkonto kapring, derimot.
"Denne nyheten reiser en del spørsmål om hva Googles intensjoner er og hva disse endringene betyr for både utviklere og brukere," fortsatte Brown med å si. "Emner som falske apper med falske anmeldelser (ofte kjøpt av spammere) vil fortsatt eksistere. Google har lovet å stramme opp ting en stund, men denne siste endringen har bare satt en dato for når oppdateringen vil skje.«
Selv om Googles nye sikkerhetstiltak for utviklerkontoer definitivt vil hjelpe, er det mer de kan og bør gjøre for å håndtere resten av Google Plays kjente problemer. Brown foreslår et alternativ for utviklere å fortelle Google at de er bekreftet når de rapporterer skadelig programvare og spam-apper, i tillegg til at Google trer inn under "ekstremt" omstendigheter. Dette vil gjøre det enklere for Google å lære om og håndtere skadelige apper, samtidig som det gir godkjente utviklere en mer pålitelig måte å rapportere tvilsomme apper og kontoer på.
Løsningen implementert av Google er lovende, og det er en god start på å håndtere cyber-hack.
Chan ønsker å adressere kontohacking og avbrudd mer direkte, og foreslår enda sterkere multifaktorautentiseringskrav som koder og ansiktsgjenkjenning. Tokenbasert autorisasjon og sertifikatbasert identifikasjon ble også anbef alt som et middel for å gi utviklerkontoer enda mer solid brukerverifisering. Disse tiltakene vil gjøre det langt vanskeligere å ta kontroll over en etablert utviklers konto, og potensielt forhindre at skadelig programvare blir lastet opp i deres navn.
Til slutt er både Brown og Chan enige om at Google har en lovende start, og håper sikkerhetsforbedringene for utviklerkontoen ikke slutter her.
