Belangrijkste afhaalrestaurants
- Google Play heeft sinds het begin met verschillende beveiligingsproblemen te maken gehad, waarbij Google eindelijk het gebrek aan verificatie van het maken van accounts aanpakt.
- Hoewel de juiste verificatie van het maken van een account helpt om de stroom van het maken van meerdere branderaccounts te stoppen, wordt niet alles aangepakt.
- Google moet nog steeds iets doen aan het kapen van ontwikkelaarsaccounts, het klonen van apps, nep-app-recensies en meer.
Google is onlangs begonnen met het vereisen van extra verificatie voor Google Play-ontwikkelaarsaccounts - een reactie op kwaadwillende partijen die batches accounts maken om te verkopen - maar het zou meer kunnen doen.
De beveiliging van ontwikkelaarsaccounts op Google Play heeft niet de beste staat van dienst gehad, waarbij basisregistratie geen enkele vorm van verificatie van contactgegevens vereist. Sommige groepen maakten misbruik van dit toezicht om meerdere accounts aan te maken en die accounts vervolgens te verkopen aan mensen die malware, scam-apps, enzovoort zouden uploaden. Google heeft onlangs het aanmaken van ontwikkelaarsaccounts geüpdatet om verificatie van contactgegevens voor nieuwe accounts te vereisen, maar het is meer een goed begin dan een volledig antwoord op lopende problemen.
"Het is een stap in de goede richting voor Google, aangezien het zijn inkomstenbron begint te beschermen", zei Katherine Brown, de oprichter van Spyic, in een e-mailinterview met Lifewire, "Het zal gebruikers ook beschermen tegen schetsmatige of kwaadaardige apps die op de markt verschijnen, aangezien ze zullen worden verwijderd."
Een goede eerste stap
Door nieuwe Google Play-ontwikkelaarsaccounts te verplichten hun contactgegevens te verifiëren, maakt Google het moeilijker (maar niet onmogelijk) om gemakkelijk meerdere accounts tegelijk te maken. Door verificatie een optie te maken voor bestaande accounts, kunnen legitieme ontwikkelaars ook beter worden beschermd tegen hackpogingen en nepaccounts die hun identiteit kunnen overnemen.
Verificatie in twee stappen is ook gepland voor augustus 2021 en is vereist voor alle nieuwe ontwikkelaarsaccounts zodra deze zijn geïmplementeerd. De toegevoegde hindernis maakt het nog moeilijker (maar nog steeds niet onmogelijk) voor slechte acteurs om te profiteren van het maken van Google Play-accounts, hoewel het nog niet van kracht is geworden.
"De door Google geïmplementeerde oplossing is veelbelovend en het is een goed begin om cyberhacks aan te pakken", zei Harriet Chan, mede-oprichter van CocoFinder, in een e-mailinterview, "Het zou beter zijn als ze deze techniek zo snel mogelijk."
Google is van plan om later dit jaar verificatie van contactgegevens en tweestapsverificatie verplicht te stellen, zelfs voor gevestigde ontwikkelaarsaccounts. Dit zal velen er waarschijnlijk van weerhouden batches valse ontwikkelaarsaccounts te maken, maar meerdere brandersaccounts is slechts een van de vele problemen van Google Play.
Al het andere
Een berg eenmalige branderaccounts en valse ontwikkelaarsaccounts hebben ongetwijfeld bijgedragen aan de beveiligingsproblemen van Google Play. Veel van dit soort accounts zijn gebruikt om gebruikers te misleiden om kwaadaardige apps te downloaden waarvan ze dachten dat ze legitiem waren, om scam-apps te uploaden, enz. Het toevoegen van contactgegevens en tweestapsverificatie lost niet veel andere problemen op, zoals het klonen van apps of een ontwikkelaarsaccount kaping echter.
"Dit nieuws roept nogal wat vragen op over wat de bedoelingen van Google zijn en wat deze veranderingen betekenen voor zowel ontwikkelaars als gebruikers", vervolgde Brown. "Onderwerpen als nep-apps met neprecensies (vaak gekocht door spammers) zullen nog steeds bestaan. Google belooft al een tijdje de zaken aan te scherpen, maar deze laatste wijziging heeft alleen een datum vastgesteld waarop de update zal plaatsvinden."
Hoewel de nieuwe beveiligingsmaatregelen voor ontwikkelaarsaccounts van Google zeker zullen helpen, is er meer dat ze kunnen en moeten doen om de rest van de bekende problemen van Google Play op te lossen. Brown suggereert een optie voor ontwikkelaars om Google te laten weten dat ze zijn geverifieerd bij het rapporteren van malware en spam-apps, en om Google te laten ingrijpen tijdens "extreme" omstandigheden. Dit zou het voor Google gemakkelijker maken om kwaadaardige apps te leren kennen en ermee om te gaan, terwijl doorgelichte ontwikkelaars ook een betrouwbaardere manier krijgen om dubieuze apps en accounts te rapporteren.
De door Google geïmplementeerde oplossing is veelbelovend en het is een goed begin om cyberhacks aan te pakken.
Chan wil hacking en onderbrekingen van accounts directer aanpakken, en suggereert nog sterkere vereisten voor meervoudige authenticatie, zoals codes en gezichtsherkenning. Op tokens gebaseerde autorisatie en op certificaten gebaseerde identificatie werden ook aanbevolen als een manier om ontwikkelaarsaccounts te voorzien van een nog solidere gebruikersverificatie. Deze maatregelen zouden het veel moeilijker maken om de controle over het account van een gevestigde ontwikkelaar te krijgen en mogelijk te voorkomen dat schadelijke software op hun naam wordt geüpload.
Uiteindelijk zijn zowel Brown als Chan het erover eens dat Google een veelbelovende start heeft, en hopen dat de verbeteringen aan de beveiliging van de ontwikkelaarsaccount hier niet eindigen.
