Clau per emportar
- Google Play ha estat tractant amb diversos problemes relacionats amb la seguretat des dels seus inicis, i finalment Google va solucionar la manca de verificació de la creació del compte.
- Tot i que la verificació adequada de la creació de comptes ajuda a frenar el flux de creació de comptes de gravadors múltiples, no ho soluciona tot.
- Google encara ha de fer alguna cosa sobre el segrest de comptes de desenvolupadors, la clonació d'aplicacions, les ressenyes falses d'aplicacions i molt més.
Recentment, Google ha començat a requerir una verificació addicional per als comptes de desenvolupadors de Google Play, una resposta a parts malicioses que creen lots de comptes per vendre, però podria estar fent més.
La seguretat del compte de desenvolupador a Google Play no ha tingut el millor historial, ja que la inscripció bàsica no requereix cap forma de verificació dels detalls de contacte. Alguns grups estaven aprofitant aquesta supervisió per crear diversos comptes i després venien aquests comptes a persones que penjarien programari maliciós, aplicacions d'estafa, etc. Google ha actualitzat recentment la creació del compte de desenvolupador perquè requereixi la verificació de la informació de contacte per als comptes nous, però és més un començament decent que una resposta completa als problemes actuals.
"És un moviment en la direcció correcta per a Google, ja que comença a protegir la seva font d'ingressos", va dir Katherine Brown, fundadora de Spyic, en una entrevista per correu electrònic a Lifewire, "També protegirà els usuaris de aplicacions incompletes o malicioses que apareixen al mercat, ja que s'eliminaran."
Un bon primer pas
En requerir comptes de desenvolupadors de Google Play nous per verificar la seva informació de contacte, Google està fent més difícil (encara que no impossible) crear fàcilment diversos comptes alhora. Fer que la verificació sigui una opció per als comptes existents també ajuda a protegir millor els desenvolupadors legítims dels intents de pirateig i dels comptes falsos que poden cooptar la seva identitat.
La verificació en dos passos també està prevista per a l'agost de 2021 i serà necessària per a tots els comptes de desenvolupador nous un cop implementats. L'obstacle afegit farà que sigui encara més difícil (encara que encara no impossible) que els actors dolents aprofitin les creacions de comptes de Google Play, tot i que encara no s'ha fet efectiu.
"La solució implementada per Google és prometedora, i és un bon començament per fer front als ciberpirates", va dir Harriet Chan, cofundadora de CocoFinder, en una entrevista per correu electrònic, "Seria millor que incorporessin aquesta tècnica tan aviat com sigui possible."
Google té previst fer que la verificació dels detalls de contacte i la verificació en dos passos siguin obligatòries, fins i tot per als comptes de desenvolupadors establerts, a finals d'aquest any. És probable que això dissuadirà a molts de crear lots de comptes de desenvolupador falsos, però els comptes de gravador múltiples són només un dels molts problemes de Google Play.
Tota la resta
Una muntanya de comptes de gravació únics i comptes de desenvolupadors falsos han contribuït als problemes de seguretat de Google Play, sens dubte. Molts d'aquests tipus de comptes s'han utilitzat per enganyar els usuaris perquè baixin aplicacions malicioses que pensaven que eren legítimes, penjar aplicacions d'estafa, etc. L'addició d'informació de contacte i la verificació en dos passos no ajuda gaire a resoldre altres problemes com la clonació d'aplicacions o el compte de desenvolupador. segrest, però.
"Aquesta notícia planteja moltes preguntes sobre quines són les intencions de Google i què signifiquen aquests canvis tant per als desenvolupadors com per als usuaris", va dir Brown. "Temes com ara aplicacions falses amb ressenyes falses (sovint comprades per spammers) encara existiran. Google fa temps que promet endurir les coses, però aquest darrer canvi només ha fixat una data per a quan es produirà l'actualització."
Tot i que les noves mesures de seguretat del compte de desenvolupador de Google ajudaran definitivament, hi ha més coses que poden i haurien de fer per fer front a la resta de problemes coneguts de Google Play. Brown suggereix una opció perquè els desenvolupadors diguin a Google que estan verificats quan denuncien aplicacions de programari maliciós i correu brossa, així com que Google intervingui en circumstàncies "extremes". Això facilitaria a Google conèixer i tractar aplicacions malicioses, alhora que ofereix als desenvolupadors verificats una manera més fiable d'informar d'aplicacions i comptes qüestionables.
La solució implementada per Google és prometedora i és un bon començament per fer front als ciberpirates.
Chan vol abordar la pirateria i les interrupcions de comptes de manera més directa, suggerint requisits d'autenticació de diversos factors encara més forts, com ara codis i reconeixement facial. També es va recomanar l'autorització basada en testimonis i la identificació basada en certificats com a mitjà per proporcionar als comptes de desenvolupadors una verificació d'usuari encara més sòlida. Aquestes mesures farien molt més difícil prendre el control del compte d'un desenvolupador establert i, potencialment, evitarien que es pengés programari maliciós al seu nom.
Al final, tant Brown com Chan coincideixen que Google té un començament prometedor i esperen que les millores de seguretat del compte de desenvolupador no acabin aquí.
