Klíčové poznatky
- Google Play se od svého založení potýká s několika problémy souvisejícími se zabezpečením, přičemž Google konečně vyřešil chybějící ověření vytvoření účtu.
- I když správné ověření vytvoření účtu pomáhá zastavit tok vytváření účtů s více hořáky, neřeší vše.
- Google musí ještě něco udělat s únosem účtu vývojáře, klonováním aplikací, falešnými recenzemi aplikací a dalšími.
Google nedávno začal vyžadovat dodatečné ověření pro účty vývojářů Google Play – což je reakce na zlomyslné strany, které vytvářejí skupiny účtů za účelem prodeje – ale mohl by dělat víc.
Zabezpečení účtu vývojáře na Google Play nemá nejlepší výsledky, protože základní registrace nevyžaduje žádnou formu ověření kontaktních údajů. Některé skupiny využívaly tohoto dohledu k vytváření více účtů a poté tyto účty prodávaly lidem, kteří nahráli malware, podvodné aplikace a tak dále. Google nedávno aktualizoval vytváření účtu vývojáře tak, aby u nových účtů vyžadoval ověření kontaktních údajů, ale je to spíše slušný začátek než úplná odpověď na přetrvávající problémy.
„Je to krok správným směrem pro Google, protože začíná chránit svůj zdroj příjmů,“řekla Katherine Brown, zakladatelka Spyic, v e-mailovém rozhovoru pro Lifewire, „Bude to také chránit uživatele před útržkovité nebo škodlivé aplikace na trhu, protože budou odstraněny."
Dobrý první krok
Vyžadováním nových účtů vývojářů Google Play k ověření jejich kontaktních údajů společnost Google ztěžuje (i když ne nemožné) snadné vytváření více účtů najednou. Zavedení ověření jako možnost pro stávající účty také pomáhá lépe chránit legitimní vývojáře před pokusy o hackování a falešnými účty, které mohou kooptovat jejich identitu.
Dvoufázové ověření je také plánováno na srpen 2021 a po implementaci bude vyžadováno u všech nových účtů vývojářů. Přidaná překážka ještě více ztíží (i když stále ne nemožné) pro zlé herce využít výhod vytvořených účtů Google Play, i když to zatím nevstoupilo v platnost.
„Řešení implementované Googlem je slibné a je to dobrý začátek, jak se vypořádat s kybernetickými hacky,“řekla Harriet Chan, spoluzakladatelka CocoFinder, v e-mailovém rozhovoru, „by bylo lepší, kdyby vložili tuto techniku co nejrychleji."
Společnost Google plánuje koncem tohoto roku zavést povinné ověření kontaktních údajů a dvoufázové ověření, a to i u zavedených vývojářských účtů. To pravděpodobně mnohé odradí od vytváření dávek falešných vývojářských účtů, ale více účtů vypalovaček je pouze jedním z mnoha problémů Google Play.
Vše ostatní
K bezpečnostním problémům Google Play jistě přispěla hora jednorázových vypalovacích účtů a falešných vývojářských účtů. Mnoho z těchto typů účtů bylo použito k oklamání uživatelů, aby si stáhli škodlivé aplikace, které považovali za legitimní, nahráli podvodné aplikace atd. Přidání kontaktních údajů a dvoufázové ověření příliš nevyřeší další problémy, jako je klonování aplikací nebo vývojářský účet. únos, nicméně.
„Tato zpráva vyvolává několik otázek o tom, jaké jsou záměry společnosti Google a co tyto změny znamenají pro vývojáře i uživatele,“pokračoval Brown. "Téma jako falešné aplikace s falešnými recenzemi (často kupované spammery) budou stále existovat. Google už nějakou dobu slibuje zpřísnění, ale tato nejnovější změna stanovila pouze datum, kdy k aktualizaci dojde."
Nová bezpečnostní opatření pro vývojářský účet Google sice rozhodně pomohou, ale pro řešení ostatních známých problémů na Google Play mohou a měli by udělat více. Brown navrhuje vývojářům možnost sdělit Googlu, že jsou ověřeni při hlášení malwaru a spamových aplikací, a také nechat Google zasáhnout v „extrémních“situacích. To by Googlu usnadnilo poznat a vypořádat se s škodlivými aplikacemi a zároveň by to prověřeným vývojářům poskytlo spolehlivější způsob, jak nahlásit pochybné aplikace a účty.
Řešení implementované společností Google je slibné a je to dobrý začátek, jak se vypořádat s kybernetickými hacky.
Chan chce řešit hackování účtů a přerušení příměji a navrhuje ještě přísnější požadavky na vícefaktorovou autentizaci, jako jsou kódy a rozpoznávání obličeje. Autorizace na základě tokenů a identifikace na základě certifikátu byly také doporučeny jako prostředek k zajištění ještě spolehlivějšího ověření uživatelů pro účty vývojářů. Tato opatření by značně ztížila převzetí kontroly nad zavedeným účtem vývojáře a potenciálně by zabránila nahrávání škodlivého softwaru pod jeho jménem.
Nakonec se Brown i Chan shodují, že Google má slibný začátek, a doufají, že zde vylepšení zabezpečení účtu pro vývojáře neskončí.