Key takeaways
- Google Play har hanterat flera säkerhetsrelaterade problem sedan starten, och Google har äntligen åtgärdat bristen på verifiering av kontoskapande.
- Medan korrekt verifiering av kontoskapande hjälper till att hejda flödet av konton med flera brännare, åtgärdar den inte allt.
- Google måste fortfarande göra något åt kapning av utvecklarkonton, appkloning, falska apprecensioner och mer.
Google har nyligen börjat kräva ytterligare verifiering för utvecklarkonton i Google Play – ett svar på att illvilliga parter skapar grupper av konton för att sälja – men det kan göra mer.
Utvecklarkontosäkerhet på Google Play har inte haft den bästa meritlistan, med grundläggande registrering som inte kräver någon form av verifiering av kontaktuppgifter. Vissa grupper utnyttjade denna tillsyn för att skapa flera konton och sålde sedan dessa konton till personer som laddade upp skadlig programvara, bluffappar och så vidare. Google uppdaterade nyligen skapandet av utvecklarkonton för att kräva verifiering av kontaktuppgifter för nya konton, men det är mer en bra start än ett komplett svar på pågående problem.
"Det är ett steg i rätt riktning för Google när det börjar skydda sin inkomstkälla", sa Katherine Brown, grundaren av Spyic, i en e-postintervju med Lifewire, "Det kommer också att skydda användare från skissartade eller skadliga appar som visas på marknaden eftersom de kommer att tas bort."
Ett bra första steg
Genom att kräva att nya utvecklarkonton på Google Play verifierar sina kontaktuppgifter gör Google det svårare (men inte omöjligt) att enkelt skapa flera konton samtidigt. Att göra verifiering till ett alternativ för befintliga konton hjälper också till att bättre skydda legitima utvecklare från hackningsförsök och falska konton som kan använda deras identitet.
Tvåstegsverifiering är också planerad till augusti 2021 och kommer att krävas för alla nya utvecklarkonton när de har implementerats. Det extra hindret kommer att göra det ännu svårare (men fortfarande inte omöjligt) för dåliga skådespelare att dra nytta av skapande av Google Play-konton, även om det inte har trätt i kraft än.
"Lösningen som implementerats av Google är lovande, och det är en bra början för att hantera cyberhacker", sa Harriet Chan, medgrundare av CocoFinder, i en e-postintervju, "Det skulle vara bättre om de bäddar in denna teknik så snabbt som möjligt."
Google planerar att göra verifiering av kontaktuppgifter och tvåstegsverifiering obligatoriska, även för etablerade utvecklarkonton, senare i år. Detta kommer sannolikt att avskräcka många från att skapa grupper av falska utvecklarkonton, men flera brännarkonton är bara ett av Google Plays många problem.
Allt annat
Ett berg av engångsförbrännarkonton och falska utvecklarkonton har bidragit till säkerhetsproblemen på Google Play, för att vara säker. Många av dessa typer av konton har använts för att lura användare att ladda ner skadliga appar som de trodde var legitima, ladda upp bluffappar, etc. Att lägga till kontaktinformation och tvåstegsverifiering gör inte mycket för att lösa andra problem som appkloning eller utvecklarkonto kapning, dock.
"Denna nyhet väcker en hel del frågor om vad Googles avsikter är och vad dessa förändringar betyder för både utvecklare och användare", fortsatte Brown med att säga. "Ämnen som falska appar med falska recensioner (ofta köpta av spammare) kommer fortfarande att finnas. Google har lovat att skärpa saker och ting under en tid, men den senaste förändringen har bara satt ett datum för när uppdateringen ska ske."
Medan Googles nya säkerhetsåtgärder för utvecklarkonton definitivt kommer att hjälpa, finns det mer de kan och borde göra för att hantera resten av Google Plays kända problem. Brown föreslår ett alternativ för utvecklare att berätta för Google att de är verifierade när de rapporterar skadlig programvara och skräppostappar, samt att låta Google gå in under "extrema" omständigheter. Detta skulle göra det lättare för Google att lära sig om och hantera skadliga appar, samtidigt som granskade utvecklare får ett mer tillförlitligt sätt att rapportera tvivelaktiga appar och konton.
Lösningen som implementerats av Google är lovande och det är en bra början för att hantera cyberhacker.
Chan vill ta itu med kontohackning och avbrott mer direkt, och föreslår ännu starkare multifaktorautentiseringskrav som koder och ansiktsigenkänning. Tokenbaserad auktorisering och certifikatbaserad identifiering rekommenderades också som ett sätt att förse utvecklarkonton med ännu mer solid användarverifiering. Dessa åtgärder skulle göra det mycket svårare att ta kontroll över en etablerad utvecklares konto och potentiellt förhindra att skadlig programvara laddas upp i deras namn.
I slutändan är både Brown och Chan överens om att Google har en lovande start och hoppas att säkerhetsförbättringarna för utvecklarkontot inte kommer att sluta här.