Önemli Bilgiler
- Google Play, başlangıcından bu yana güvenlikle ilgili birkaç sorunla uğraşıyor ve Google sonunda hesap oluşturma doğrulama eksikliğini giderdi.
- Doğru hesap oluşturma doğrulaması, birden fazla kullanıcı hesabı oluşturma akışını durdurmaya yardımcı olsa da, her şeyi ele almaz.
- Google'ın geliştirici hesabı ele geçirme, uygulama klonlama, sahte uygulama incelemeleri ve daha fazlası hakkında hâlâ bir şeyler yapması gerekiyor.
Google kısa süre önce Google Play geliştirici hesapları için ek doğrulama istemeye başladı (satmak için hesap grupları oluşturan kötü niyetli taraflara bir yanıt), ancak daha fazlasını da yapabilir.
Google Play'deki geliştirici hesabı güvenliği, herhangi bir iletişim ayrıntısı doğrulaması gerektirmeyen temel kayıt ile en iyi geçmişe sahip değil. Bazı gruplar, birden fazla hesap oluşturmak için bu gözetimden yararlanıyor, ardından bu hesapları kötü amaçlı yazılım, dolandırıcılık uygulamaları vb. yükleyecek kişilere satıyordu. Google yakın zamanda geliştirici hesabı oluşturma işlemini yeni hesaplar için iletişim bilgilerinin doğrulanmasını gerektirecek şekilde güncelledi, ancak bu, devam eden sorunlara eksiksiz bir yanıt vermekten daha iyi bir başlangıç.
Spyic'in kurucusu Katherine Brown, Lifewire ile yaptığı bir e-posta röportajında, "Gelir kaynağını korumaya başladığı için Google için doğru yönde bir hareket" dedi. Kaldırılacakları için pazarda yer alan yarım yamalak veya kötü amaçlı uygulamalar."
İyi Bir İlk Adım
Google, iletişim bilgilerini doğrulamak için yeni Google Play geliştirici hesapları gerektirerek, aynı anda kolayca birden fazla hesap oluşturmayı zorlaştırıyor (imkansız olmasa da). Doğrulamayı mevcut hesaplar için bir seçenek haline getirmek, meşru geliştiricilerin kimliklerini ele geçirebilecek korsanlık girişimlerinden ve sahte hesaplardan daha iyi korunmasına da yardımcı olur.
İki adımlı doğrulama da Ağustos 2021 için planlanmıştır ve uygulandıktan sonra tüm yeni geliştirici hesapları için gerekli olacaktır. Eklenen engel, henüz yürürlüğe girmemiş olsa da kötü aktörlerin Google Play hesap oluşturma işlemlerinden yararlanmasını daha da zorlaştıracak (yine de imkansız değil).
CocoFinder'ın kurucu ortağı Harriet Chan bir e-posta röportajında "Google tarafından uygulanan çözüm umut verici ve siber saldırılarla başa çıkmak için iyi bir başlangıç" dedi. bu tekniği mümkün olduğunca çabuk."
Google, bu yılın sonlarında, yerleşik geliştirici hesapları için bile iletişim ayrıntıları doğrulamasını ve iki adımlı doğrulamayı zorunlu hale getirmeyi planlıyor. Bu muhtemelen birçok kişiyi sahte geliştirici hesapları oluşturmaktan caydıracaktır, ancak birden çok kullanıcı hesabı Google Play'in birçok sorunundan yalnızca biridir.
Diğer Her Şey
Bir kereye mahsus yakıcı hesaplardan ve sahte geliştirici hesaplarından oluşan bir dağ, şüphesiz Google Play'in güvenlik sorunlarına katkıda bulundu. Bu tür hesapların çoğu, kullanıcıları meşru olduğunu düşündükleri kötü amaçlı uygulamaları indirmeleri, dolandırıcılık uygulamaları yüklemeleri vb. için kandırmak için kullanılmıştır. İletişim bilgileri ve iki adımlı doğrulama eklemek, uygulama klonlama veya geliştirici hesabı gibi diğer sorunları çözmek için fazla bir şey yapmaz. ancak kaçırma.
"Bu haber, Google'ın niyetlerinin ne olduğu ve bu değişikliklerin hem geliştiriciler hem de kullanıcılar için ne anlama geldiği hakkında oldukça fazla soru soruyor," diye devam etti Brown. "Sahte incelemelere sahip (genellikle spam gönderenler tarafından satın alınan) sahte uygulamalar gibi konular hala var olacak. Google bir süredir işleri sıkılaştırmaya söz veriyor, ancak bu son değişiklik yalnızca güncellemenin ne zaman gerçekleşeceği için bir tarih belirledi."
Google'ın yeni geliştirici hesabı güvenlik önlemleri kesinlikle yardımcı olacak olsa da, Google Play'in bilinen diğer sorunlarıyla başa çıkmak için yapabilecekleri ve yapmaları gereken daha çok şey var. Brown, geliştiricilere, Google'a kötü amaçlı yazılım ve spam uygulamalarını bildirirken doğrulandıklarını söylemeleri ve "aşırı" durumlarda Google'ın devreye girmesini sağlamaları için bir seçenek önerir. Bu, Google'ın kötü amaçlı uygulamaları öğrenmesini ve bunlarla başa çıkmasını kolaylaştırırken, aynı zamanda deneyimli geliştiricilere şüpheli uygulamaları ve hesapları bildirmeleri için daha güvenilir bir yol sağlar.
Google tarafından uygulanan çözüm umut verici ve siber saldırılarla başa çıkmak için iyi bir başlangıç.
Chan, hesap korsanlığı ve kesintileri daha doğrudan ele almak istiyor ve kodlar ve yüz tanıma gibi daha güçlü çok faktörlü kimlik doğrulama gereksinimleri öneriyor. Geliştirici hesaplarına daha sağlam kullanıcı doğrulaması sağlamanın bir yolu olarak belirteç tabanlı yetkilendirme ve sertifika tabanlı kimlik de önerildi. Bu önlemler, yerleşik bir geliştiricinin hesabının kontrolünü ele geçirmeyi çok daha zor hale getirecek ve potansiyel olarak onların adına kötü amaçlı yazılımların yüklenmesini önleyecektir.
Sonunda, hem Brown hem de Chan, Google'ın umut verici bir başlangıcı olduğu konusunda hemfikir ve geliştirici hesabı güvenlik iyileştirmelerinin burada bitmemesini umuyor.
