Mga Key Takeaway
- Ang Google Play ay humaharap sa ilang mga problemang nauugnay sa seguridad mula noong ito ay nagsimula, na sa wakas ay tinutugunan ng Google ang kakulangan ng pag-verify sa paggawa ng account.
- Habang nakakatulong ang wastong pag-verify sa paggawa ng account na pigilan ang daloy ng paggawa ng maraming burner account, hindi nito tinutugunan ang lahat.
- May kailangan pa ring gawin ang Google tungkol sa pag-hijack ng developer account, pag-clone ng app, pekeng review ng app, at higit pa.
Sinimulan kamakailan ng Google na mangailangan ng karagdagang pag-verify para sa mga Google Play developer account-isang tugon sa mga nakakahamak na partido na gumagawa ng mga batch ng mga account na ibebenta-ngunit maaari itong gumawa ng higit pa.
Ang seguridad ng developer ng account sa Google Play ay walang pinakamahusay na track record, na may pangunahing pag-sign up na hindi nangangailangan ng anumang paraan ng pag-verify ng detalye ng contact. Sinasamantala ng ilang grupo ang pangangasiwa na ito upang lumikha ng maraming account, pagkatapos ay ibenta ang mga account na iyon sa mga taong mag-a-upload ng malware, mga scam na app, at iba pa. Kamakailan ay na-update ng Google ang paggawa ng developer account upang mangailangan ng pag-verify ng impormasyon sa pakikipag-ugnayan para sa mga bagong account, ngunit higit pa ito sa isang disenteng simula kaysa sa kumpletong sagot sa mga kasalukuyang isyu.
"Ito ay isang hakbang sa tamang direksyon para sa Google habang sinisimulan nitong protektahan ang pinagmumulan ng kita nito," sabi ni Katherine Brown, ang tagapagtatag ng Spyic, sa isang email na panayam sa Lifewire, "Ito ay mapoprotektahan din ang mga user mula sa sketchy o malisyosong app na nagtatampok sa marketplace dahil aalisin ang mga ito."
Isang Magandang Unang Hakbang
Sa pamamagitan ng pag-aatas sa mga bagong Google Play developer account na i-verify ang kanilang impormasyon sa pakikipag-ugnayan, ginagawang mas mahirap (bagaman hindi imposible) ng Google na madaling gumawa ng maraming account nang sabay-sabay. Ang paggawang opsyon sa pag-verify para sa mga kasalukuyang account ay nakakatulong din na mas maprotektahan ang mga lehitimong developer mula sa mga pagtatangka sa pag-hack at mga pekeng account na maaaring mag-co-opt ng kanilang pagkakakilanlan.
Two-step na pag-verify ay binalak din para sa Agosto 2021, at kakailanganin ito para sa lahat ng bagong developer account kapag naipatupad na. Ang idinagdag na hadlang ay magpapahirap pa (bagaman hindi pa rin imposible) para sa mga masasamang aktor na samantalahin ang mga paggawa ng Google Play account, kahit na hindi pa ito nagkakabisa.
"Ang solusyon na ipinatupad ng Google ay nangangako, at ito ay isang magandang simula upang harapin ang mga cyber hack," sabi ni Harriet Chan, co-founder ng CocoFinder, sa isang panayam sa email, "Mas maganda kung i-embed nila ang diskarteng ito sa lalong madaling panahon."
Pinaplano ng Google na gawing mandatoryo ang pag-verify sa detalye ng contact at pag-verify ng dalawang hakbang, kahit na para sa mga naitatag na developer account, sa huling bahagi ng taong ito. Malamang na mapipigilan nito ang marami sa paggawa ng mga batch ng pekeng developer account, ngunit ang maraming burner account ay isa lamang sa maraming problema ng Google Play.
Lahat ng Iba
Isang bundok ng one-off burner account at pekeng developer account ang nag-ambag sa mga isyu sa seguridad ng Google Play, para makasigurado. Marami sa mga ganitong uri ng account ang ginamit para linlangin ang mga user na mag-download ng mga nakakahamak na app na inaakala nilang lehitimo, mag-upload ng mga scam na app, atbp. Ang pagdaragdag ng impormasyon sa pakikipag-ugnayan at two-step na pag-verify ay hindi gaanong nagagawa upang matugunan ang iba pang mga problema tulad ng pag-clone ng app o developer account pag-hijack, gayunpaman.
"Ang balitang ito ay nagtataas ng ilang tanong tungkol sa kung ano ang mga intensyon ng Google at kung ano ang ibig sabihin ng mga pagbabagong ito para sa parehong mga developer at user," sabi pa ni Brown. "Mananatili pa rin ang mga paksa tulad ng mga pekeng app na may mga pekeng review (kadalasang binili ng mga spammer). Nangako ang Google na higpitan ang mga bagay sa loob ng ilang panahon, ngunit ang pinakabagong pagbabagong ito ay nagtakda lamang ng petsa kung kailan mangyayari ang pag-update."
Bagama't tiyak na makakatulong ang mga bagong hakbang sa seguridad ng developer account ng Google, marami pa silang magagawa, at dapat, gawin upang harapin ang iba pang nalalamang isyu ng Google Play. Nagmumungkahi si Brown ng opsyon para sa mga developer na sabihin sa Google na na-verify sila kapag nag-uulat ng malware at spam na mga app, pati na rin ang pagpasok ng Google sa panahon ng "matinding" sitwasyon. Magiging mas madali para sa Google na matuto at makitungo sa mga nakakahamak na app, habang binibigyan din ang mga na-verify na developer ng mas maaasahang paraan upang mag-ulat ng mga kaduda-dudang app at account.
Ang solusyon na ipinatupad ng Google ay nangangako, at ito ay isang magandang simula upang harapin ang mga cyber hack.
Gusto ni Chan na tugunan ang pag-hack ng account at mga pagkaantala nang mas direkta, na nagmumungkahi ng mas malakas na mga kinakailangan sa multi-factor na pagpapatotoo tulad ng mga code at pagkilala sa mukha. Ang awtorisasyon na nakabatay sa token at pagkakakilanlan na nakabatay sa sertipiko ay inirerekomenda din bilang isang paraan ng pagbibigay sa mga developer account ng mas matatag na pag-verify ng user. Ang mga hakbang na ito ay magiging mas mahirap na kontrolin ang isang naitatag na account ng developer, at posibleng maiwasan ang malisyosong software na ma-upload sa kanilang pangalan.
Sa huli, sina Brown at Chan ay magkasundo na ang Google ay may magandang simula, at umaasa na ang mga pagpapahusay sa seguridad ng developer account ay hindi magtatapos dito.