Võtmed kaasavõtmiseks
- Google Play on alates selle loomisest tegelenud mitme turvalisusega seotud probleemiga ning lõpuks on Google tegelenud konto loomise kinnitamise puudumisega.
- Kuigi õige konto loomise kinnitamine aitab peatada mitme põleti konto loomise voogu, ei käsitle see kõike.
- Google peab veel midagi ette võtma arendajakonto kaaperdamise, rakenduste kloonimise, võltsrakenduste arvustuste ja muu vastu.
Google on hiljuti hakanud nõudma Google Play arendajakontode täiendavat kinnitamist – vastuseks pahatahtlikele osapooltele, kes loovad müügiks kontosid, kuid see võiks teha rohkem.
Arendajakonto turvalisusel Google Plays pole olnud parimaid tulemusi, tavapärane registreerumine ei nõua kontaktandmete kinnitamist. Mõned rühmad kasutasid seda järelevalvet mitme konto loomiseks, seejärel müüsid need kontod inimestele, kes laadisid üles pahavara, peturakendusi ja nii edasi. Google värskendas hiljuti arendajakonto loomist, et nõuda uute kontode kontaktteabe kinnitamist, kuid see on pigem korralik algus kui täielik vastus käimasolevatele probleemidele.
"Google'i jaoks on see samm õiges suunas, kuna ta hakkab kaitsma oma tuluallikat," ütles Spyicu asutaja Katherine Brown Lifewire'ile antud meiliintervjuus: "See kaitseb ka kasutajaid visandatud või pahatahtlikud rakendused turul, kuna need eemaldatakse."
Hea esimene samm
Nõues uutelt Google Play arendajakontodelt oma kontaktteabe kinnitamist, muudab Google mitme konto korraga loomise keerulisemaks (kuigi mitte võimatuks). Kinnitamise valimine olemasolevate kontode jaoks aitab ka paremini kaitsta seaduslikke arendajaid häkkimiskatsete ja võltskontode eest, mis võivad nende identiteedi koopteerida.
Kaheastmeline kinnitamine on kavandatud ka 2021. aasta augustisse ja seda nõutakse pärast juurutamist kõigi uute arendajakontode puhul. Lisatud takistus muudab halbadel näitlejatel veelgi keerulisemaks (kuigi mitte võimatuks) Google Play konto loomise eeliste kasutamise, kuigi see pole veel jõustunud.
"Google'i juurutatud lahendus on paljulubav ja see on hea algus küberhäkkidega tegelemiseks," ütles CocoFinderi kaasasutaja Harriet Chan meiliintervjuus: "Oleks parem, kui nad manustaksid seda tehnikat nii kiiresti kui võimalik."
Google kavatseb hiljem sel aastal muuta kontaktandmete kinnitamise ja kaheastmelise kinnitamise kohustuslikuks isegi juba loodud arendajakontode puhul. Tõenäoliselt takistab see paljusid võltsitud arendajakontode partiide loomisest, kuid mitu põletuskontot on vaid üks paljudest Google Play probleemidest.
Kõik muu
Hävi ühekordseid põletuskontosid ja võltsitud arendajakontosid on kindlasti kaasa aidanud Google Play turvaprobleemidele. Paljusid seda tüüpi kontosid on kasutatud selleks, et meelitada kasutajaid alla laadima pahatahtlikke rakendusi, mida nad arvasid olevat õigustatud, üles laadima petturlikke rakendusi jne. Kontaktteabe lisamine ja kaheastmeline kinnitamine ei aita eriti lahendada muid probleeme, nagu rakenduste kloonimine või arendajakonto kaaperdamine siiski.
"See uudis tekitab üsna palju küsimusi selle kohta, millised on Google'i kavatsused ja mida need muudatused nii arendajatele kui ka kasutajatele tähendavad," ütles Brown. "Teemad, nagu võltsitud arvustustega võltsrakendused (sageli ostavad rämpspostitajad), on endiselt olemas. Google on juba mõnda aega lubanud asju karmistada, kuid see viimane muudatus on määranud ainult värskenduse toimumise kuupäeva."
Kuigi Google'i uued arendajakonto turvameetmed aitavad kindlasti kaasa, saavad nad ja peaksid tegema rohkem, et lahendada ülejäänud Google Play teadaolevad probleemid. Brown soovitab arendajatel öelda Google'ile, et nad on kinnitatud pahavarast ja rämpspostirakendustest teatamisel, ning lasta Google'il sekkuda "äärmuslikes" olukordades. See muudaks Google'il pahatahtlike rakenduste tundmaõppimise ja nendega toimetuleku lihtsamaks ning võimaldaks kontrollitud arendajatele ka usaldusväärsema võimaluse küsitavatest rakendustest ja kontodest teatada.
Google'i juurutatud lahendus on paljulubav ja see on hea algus küberhäkkidega tegelemiseks.
Chan soovib tegeleda konto häkkimise ja katkestustega otsesem alt, soovitades veelgi rangemaid mitmefaktorilise autentimise nõudeid, nagu koodid ja näotuvastus. Tokenipõhist autoriseerimist ja sertifikaadipõhist tuvastamist soovitati ka arendajakontodele veelgi kindlama kasutajakontrolli pakkumise vahendina. Need meetmed muudaksid väljakujunenud arendaja konto kontrollimise palju keerulisemaks ja takistaksid potentsiaalselt pahatahtliku tarkvara üleslaadimist tema nimele.
Lõpuks nõustuvad nii Brown kui ka Chan, et Google'i algus on paljutõotav, ja loodavad, et arendajakonto turvatäiustused ei lõpe sellega.
