Google Play on kohdannut useita tietoturvaongelmia sen perustamisen jälkeen, ja Google on vihdoin korjannut tilin luomisen todentamisen puutteen.
Vaikka asianmukainen tilin luomisen vahvistus auttaa pysäyttämään useiden polttimien tilien luomisen, se ei käsittele kaikkea.
Googlen on vielä tehtävä jotain kehittäjätilien kaappaamiseen, sovellusten kloonaukseen, väärennettyihin sovellusten arvosteluihin ja muuhun.
Google alkoi äskettäin vaatia lisätodennusta Google Play -kehittäjätileiltä – vastauksena pahantahtoisille osapuolille, jotka loivat tilieriä myytäväksi – mutta se voisi tehdä enemmän. Kehittäjätilin suojaus Google Playssa ei ole ollut parhaimmillaan, sillä perusrekisteröinti ei vaadi minkäänlaista yhteystietojen vahvistusta. Jotkut ryhmät käyttivät tätä valvontaa hyväkseen luodakseen useita tilejä ja myivät ne sitten ihmisille, jotka lataavat haittaohjelmia, huijaussovelluksia ja niin edelleen. Google päivitti äskettäin kehittäjätilin luomisen edellyttämään uusien tilien yhteystietojen vahvistamista, mutta se on enemmän hyvä alku kuin täydellinen vastaus meneillään oleviin ongelmiin. «Se on askel oikeaan suuntaan Googlelle, kun se alkaa suojella tulovirtaansa», sanoi Katherine Brown, Spyicin perustaja, sähköpostihaastattelussa Lifewirelle. «Se myös suojaa käyttäjiä luonnollisilta tai haitallisilta markkinoilla olevilta sovelluksilta, kun ne poistetaan.»
Hyvä ensimmäinen askel
Vaadimalla uusia Google Play -kehittäjätilejä vahvistamaan yhteystietonsa, Google tekee useiden tilien luomisesta kerralla vaikeampaa (mutta ei mahdotonta). Todennuksen tekeminen vaihtoehdoksi olemassa oleville tileille voi myös auttaa suojaamaan laillisia kehittäjiä hakkerointiyrityksiltä ja väärennetyiltä tileiltä, jotka voivat vallata heidän henkilöllisyytensä.
Kaksivaiheinen vahvistus on suunniteltu myös elokuulle 2021, ja se vaaditaan kaikille uusille kehittäjätileille käyttöönoton jälkeen. Lisätty este vaikeuttaa entisestään (mutta ei silti mahdotonta) huonojen näyttelijöiden hyödyntää Google Play -tilin luomista, vaikka se ei ole vielä astunut voimaan. «Googlen toteuttama ratkaisu on lupaava ja hyvä alku kyberhakkerointiin», sanoi Harriet Chan, CocoFinderin perustaja, sähköpostihaastattelussa. «Olisi parempi, jos he ottavat tämän tekniikan käyttöön mahdollisimman pian.» Google aikoo määrätä yhteystiedot ja kaksivaiheisen vahvistuksen myös vakiintuneille kehittäjätileille myöhemmin tänä vuonna. Tämä todennäköisesti estää monia luomasta väärennettyjä kehittäjätilejä, mutta useat polttotilit ovat vain yksi Google Playn monista ongelmista.
Kaikki loput
Lukuisat kertaluontoiset tilit ja väärennetyt kehittäjätilit ovat epäilemättä edistäneet Google Playn tietoturva-aukkoja. Monia tämän tyyppisiä tilejä on käytetty huijaamaan käyttäjiä lataamaan haitallisia sovelluksia, joita he uskoivat laillisiksi, lataamaan huijaussovelluksia jne. Yhteystietojen lisääminen ja kaksivaiheinen vahvistus eivät ratkaise monia muita ongelmia, kuten sovellusten kloonaus tai kehittäjätili. kaapata.
«Tämä uutinen herättää useita kysymyksiä Googlen aikeista ja mitä nämä muutokset tarkoittavat kehittäjille ja käyttäjille», Brown jatkoi. Aiheet, kuten väärennetyt sovellukset, joissa on väärennettyjä arvosteluja (usein roskapostittajat ostavat), ovat edelleen olemassa. Google on luvannut tiukentaa asioita jo jonkin aikaa, mutta tämä uusin muutos on vain asettanut päivämäärän päivitykselle.» Vaikka Googlen uudet kehittäjätilien suojaustoimenpiteet auttavat varmasti, he voivat ja niiden pitäisi tehdä enemmän korjatakseen muut Google Playn tunnetut ongelmat. Brown ehdottaa, että kehittäjät voivat ilmoittaa Googlelle, että heidät on vahvistettu, kun ne raportoivat haittaohjelmista ja roskapostisovelluksista, ja antaa Googlen puuttua asiaan «äärimmäisissä» olosuhteissa. Tämä auttaisi Googlen oppimaan haitallisia sovelluksia ja käsittelemään niitä, ja samalla antaisi tarkastetuille kehittäjille luotettavamman tavan ilmoittaa kyseenalaisista sovelluksista ja tileistä. «Googlen toteuttama ratkaisu on erittäin lupaava ja se on hyvä alku kyberhakkerointiin.» Chan haluaa puuttua hakkerointiin ja tilihäiriöihin suoremmin ja ehdottaa entistä tiukempia vaatimuksia monitekijätodennuksen, kuten koodien ja kasvojentunnistuksen, suhteen. Token-pohjaista valtuutusta ja varmenteeseen perustuvaa tunnistamista suositeltiin myös keinona tarjota kehittäjätileille entistä tehokkaampi käyttäjätodennus. Nämä toimenpiteet vaikeuttaisivat huomattavasti vakiintuneen kehittäjän tilin hallintaa ja mahdollisesti estäisivät haittaohjelmien lataamisen heidän nimissään. Lopulta sekä Brown että Chan ovat yhtä mieltä siitä, että Google on aloittanut lupaavasti, ja toivovat, että kehittäjätilin tietoturvaparannukset eivät lopu tähän.