מזונות חשובים
- Google Play מתמודדת עם מספר בעיות הקשורות לאבטחה מאז הקמתה, כאשר גוגל סוף סוף מטפלת בחוסר אימות יצירת החשבון.
- למרות שאימות נכון של יצירת חשבון עוזר לעצור את הזרימה של יצירת חשבונות מרובים עם צורב, הוא לא נותן מענה להכל.
- Google עדיין צריכה לעשות משהו בנוגע לחטיפת חשבון מפתח, שיבוט אפליקציות, ביקורות מזויפות של אפליקציות ועוד.
Google החלה לאחרונה לדרוש אימות נוסף עבור חשבונות מפתחים של Google Play - תגובה לגורמים זדוניים שיצרו קבוצות של חשבונות למכירה - אבל היא עשויה לעשות יותר.
אבטחת חשבון מפתח ב-Google Play לא הייתה עם הרקורד הטוב ביותר, כאשר הרשמה בסיסית אינה דורשת כל צורה של אימות פרטי יצירת קשר. קבוצות מסוימות ניצלו את הפיקוח הזה כדי ליצור מספר חשבונות, ואז מכרו את החשבונות האלה לאנשים שיעלו תוכנות זדוניות, אפליקציות הונאה וכו'. Google עדכנה לאחרונה את יצירת חשבון המפתח כדי לדרוש אימות פרטי איש קשר עבור חשבונות חדשים, אבל זו יותר התחלה הגונה מאשר תשובה מלאה לבעיות מתמשכות.
"זה מהלך בכיוון הנכון עבור גוגל כשהיא מתחילה להגן על מקור ההכנסה שלה", אמרה קתרין בראון, מייסדת Spyic, בראיון דוא"ל ל-Lifewire, "זה גם יגן על המשתמשים מפני אפליקציות משורטטות או זדוניות שמופיעות בשוק כפי שהן יוסרו."
צעד ראשון טוב
על ידי דרישה מחשבונות מפתחים חדשים של Google Play לאמת את פרטי הקשר שלהם, Google מקשה (אם כי לא בלתי אפשרי) ליצור בקלות מספר חשבונות בו-זמנית.הפיכת אימות לאפשרות עבור חשבונות קיימים גם עוזרת להגן טוב יותר על מפתחים לגיטימיים מפני ניסיונות פריצה וחשבונות מזויפים שעלולים לאמץ את זהותם.
אימות דו-שלבי מתוכנן גם הוא לאוגוסט 2021, והוא יידרש עבור כל חשבונות המפתחים החדשים לאחר היישום. המכשול הנוסף יקשה עוד יותר (אם כי עדיין לא בלתי אפשרי) על שחקנים גרועים לנצל את יצירת חשבונות Google Play, למרות שהוא עדיין לא נכנס לתוקף.
"הפתרון שיישמה על ידי גוגל מבטיח, וזו התחלה טובה להתמודדות עם פריצות סייבר", אמרה הרייט צ'אן, מייסדת שותפה של CocoFinder, בראיון באימייל, "יהיה טוב יותר אם הם יטמיעו טכניקה זו במהירות האפשרית."
Google מתכננת להפוך את אימות פרטי הקשר ואימות דו-שלבי לחובה, אפילו עבור חשבונות מפתחים מבוססים, בהמשך השנה.זה כנראה ירתיע רבים מליצור קבוצות של חשבונות מפתח מזויפים, אבל חשבונות צורב מרובים הם רק אחת מהבעיות הרבות של Google Play.
כל השאר
הר של חשבונות מבערים חד פעמיים וחשבונות מפתח מזויפים תרמו לבעיות האבטחה של Google Play, ללא ספק. רבים מסוגי החשבונות האלה שימשו כדי להערים על משתמשים להוריד אפליקציות זדוניות שהם חשבו שהם לגיטימיים, להעלות אפליקציות הונאה וכו'. הוספת פרטי קשר ואימות דו-שלבי לא עוזרת הרבה כדי לטפל בבעיות אחרות כמו שיבוט אפליקציות או חשבון מפתח. חטיפה, לעומת זאת.
"החדשות האלה מעלות לא מעט שאלות לגבי מה הן כוונותיה של גוגל ומה המשמעות של השינויים הללו הן עבור המפתחים והן עבור המשתמשים", המשיך בראון. "נושאים כמו אפליקציות מזויפות עם ביקורות מזויפות (לעתים קרובות נרכשו על ידי שולחי דואר זבל) עדיין יהיו קיימים. גוגל הבטיחה להדק את העניינים כבר זמן מה, אבל השינוי האחרון הזה קבע רק תאריך שבו העדכון יתרחש."
למרות שאמצעי האבטחה החדשים של חשבון המפתחים של Google בהחלט יעזרו, יש עוד דברים שהם יכולים וצריכים לעשות כדי להתמודד עם שאר הבעיות הידועות של Google Play. בראון מציע למפתחים אפשרות לומר לגוגל שהם מאומתים בעת דיווח על תוכנות זדוניות ואפליקציות דואר זבל, כמו גם ש-Google תתערב בנסיבות "קיצוניות". זה יקל על Google ללמוד ולהתמודד עם אפליקציות זדוניות, ובמקביל ייתן למפתחים שנבדקו דרך אמינה יותר לדווח על אפליקציות וחשבונות מפוקפקים.
הפתרון שיושם על ידי גוגל מבטיח, וזו התחלה טובה להתמודדות עם פריצות סייבר.
Chan רוצה לטפל באופן ישיר יותר בפריצות והפרעות בחשבון, ומציע דרישות אימות מרובה-גורמי חזקות עוד יותר כמו קודים וזיהוי פנים. הומלצו גם הרשאה מבוססת אסימון וזיהוי מבוסס תעודות כאמצעי לספק לחשבונות מפתחים אימות משתמש מוצק עוד יותר.אמצעים אלה יקשו בהרבה על השתלטות על חשבון מפתח מבוסס, ועלולים למנוע העלאת תוכנה זדונית על שמם.
בסופו של דבר, גם בראון וגם צ'אן מסכימים שלגוגל יש התחלה מבטיחה, ומקווים ששיפורי האבטחה בחשבון המפתחים לא יסתיימו כאן.