Ключевые выводы
- Google Play с момента своего создания столкнулся с несколькими проблемами, связанными с безопасностью, и Google, наконец, решил проблему отсутствия подтверждения создания учетной записи.
- Несмотря на то, что надлежащая проверка создания учетной записи помогает остановить процесс создания нескольких учетных записей, она не решает всех проблем.
- Google все еще должен что-то сделать с угоном учетных записей разработчиков, клонированием приложений, поддельными обзорами приложений и многим другим.
Недавно Google начал требовать дополнительной проверки для учетных записей разработчиков Google Play - в ответ на попытки злоумышленников создать группы учетных записей для продажи, - но он может сделать больше.
Защита учетной записи разработчика в Google Play не имеет наилучшего послужного списка: базовая регистрация не требует какой-либо проверки контактных данных. Некоторые группы использовали эту оплошность для создания нескольких учетных записей, а затем продавали эти учетные записи людям, которые загружали вредоносные программы, мошеннические приложения и т. д. Google недавно обновил создание учетных записей разработчиков, чтобы требовать проверки контактной информации для новых учетных записей, но это скорее достойное начало, чем полный ответ на текущие проблемы.
«Это шаг в правильном направлении для Google, поскольку он начинает защищать свой источник дохода, - сказала Кэтрин Браун, основатель Spyic, в интервью по электронной почте Lifewire. - Это также защитит пользователей от отрывочные или вредоносные приложения, размещенные на торговой площадке, будут удалены."
Хороший первый шаг
Требуя от новых учетных записей разработчиков Google Play подтверждать свою контактную информацию, Google усложняет (хотя и не делает невозможным) простое создание нескольких учетных записей одновременно. Включение проверки для существующих учетных записей также помогает лучше защитить законных разработчиков от попыток взлома и поддельных учетных записей, которые могут использовать их личность.
Двухэтапная проверка также запланирована на август 2021 года и будет необходима для всех новых учетных записей разработчиков после внедрения. Добавленное препятствие сделает еще более трудным (хотя и не невозможным) для злоумышленников возможность воспользоваться преимуществами создания учетных записей Google Play, хотя оно еще не вступило в силу.
«Решение, реализованное Google, является многообещающим, и это хорошее начало для борьбы с кибервзломами», - сказала Гарриет Чан, соучредитель CocoFinder, в интервью по электронной почте. «Было бы лучше, если бы они встроили эту технику как можно быстрее."
Google планирует сделать проверку контактных данных и двухэтапную проверку обязательной даже для зарегистрированных учетных записей разработчиков в конце этого года. Это, вероятно, удержит многих от создания пакетов поддельных учетных записей разработчиков, но наличие нескольких учетных записей - только одна из многих проблем Google Play.
Все остальное
Гора одноразовых учетных записей и поддельных учетных записей разработчиков, безусловно, способствовали проблемам безопасности Google Play. Многие из этих типов учетных записей использовались для того, чтобы обманом заставить пользователей загружать вредоносные приложения, которые они считали законными, загружать мошеннические приложения и т. д. Добавление контактной информации и двухэтапной проверки мало что дает для решения других проблем, таких как клонирование приложения или учетная запись разработчика. угон, однако.
«Эта новость вызывает немало вопросов о намерениях Google и о том, что эти изменения означают как для разработчиков, так и для пользователей», - продолжил Браун. «Такие темы, как поддельные приложения с поддельными отзывами (часто покупаемые спамерами), все еще будут существовать. Google уже некоторое время обещает ужесточить ситуацию, но это последнее изменение установило только дату, когда произойдет обновление."
Несмотря на то, что новые меры безопасности учетной записи разработчика Google определенно помогут, они могут и должны сделать больше, чтобы справиться с остальными известными проблемами Google Play. Браун предлагает разработчикам возможность сообщать Google, что они проверены, когда сообщают о вредоносных программах и спам-приложениях, а также привлекать Google в «экстремальных» обстоятельствах. Это упростит для Google обнаружение вредоносных приложений и борьбу с ними, а также предоставит проверенным разработчикам более надежный способ сообщать о сомнительных приложениях и учетных записях.
Решение, реализованное Google, является многообещающим, и это хорошее начало для борьбы с кибервзломами.
Чан хочет более непосредственно решать проблемы со взломом и прерыванием работы аккаунта, предлагая еще более строгие требования к многофакторной аутентификации, такие как коды и распознавание лиц. Авторизация на основе токенов и идентификация на основе сертификатов также были рекомендованы в качестве средства предоставления учетным записям разработчиков еще более надежной проверки пользователей. Эти меры значительно усложнили бы контроль над установленной учетной записью разработчика и потенциально предотвратили бы загрузку вредоносного программного обеспечения от его имени.
В конце концов, и Браун, и Чан соглашаются, что у Google многообещающее начало, и надеются, что улучшения безопасности аккаунта разработчика на этом не закончатся.