Key Takeaways
- Google Play hatte seit seiner Einführung mit mehreren sicherheitsbezogenen Problemen zu kämpfen, wobei Google endlich das Fehlen einer Überprüfung bei der Kontoerstellung angegangen ist.
- Die ordnungsgemäße Überprüfung der Kontoerstellung hilft zwar dabei, den Fluss der Kontoerstellung mit mehreren Brennern einzudämmen, adressiert jedoch nicht alles.
- Google muss immer noch etwas gegen die Entführung von Entwicklerkonten, das Klonen von Apps, gefälschte App-Rezensionen und mehr unternehmen.
Google hat vor kurzem damit begonnen, eine zusätzliche Überprüfung für Google Play-Entwicklerkonten zu verlangen – eine Reaktion auf böswillige Parteien, die Stapel von Konten zum Verkauf erstellen –, aber es könnte mehr tun.
Die Sicherheit von Entwicklerkonten bei Google Play hat nicht die beste Erfolgsbilanz, da für die einfache Anmeldung keinerlei Überprüfung der Kontaktdetails erforderlich ist. Einige Gruppen nutzten dieses Versehen aus, um mehrere Konten zu erstellen und diese Konten dann an Personen zu verkaufen, die Malware, betrügerische Apps usw. hochluden. Google hat vor kurzem die Erstellung von Entwicklerkonten aktualisiert, um die Überprüfung der Kontaktinformationen für neue Konten zu verlangen, aber es ist eher ein anständiger Anfang als eine vollständige Antwort auf laufende Probleme.
"Es ist ein Schritt in die richtige Richtung für Google, da es beginnt, seine Einnahmequelle zu schützen", sagte Katherine Brown, die Gründerin von Spyic, in einem E-Mail-Interview mit Lifewire, "Es wird auch die Benutzer davor schützen skizzenhafte oder bösartige Apps, die auf dem Marktplatz erscheinen, da sie entfernt werden."
Ein guter erster Schritt
Indem neue Google Play-Entwicklerkonten aufgefordert werden, ihre Kontaktinformationen zu bestätigen, macht es Google schwieriger (wenn auch nicht unmöglich), mehrere Konten gleichzeitig zu erstellen. Die Überprüfung als Option für bestehende Konten zu ermöglichen, trägt auch dazu bei, legitime Entwickler besser vor Hacking-Versuchen und gefälschten Konten zu schützen, die ihre Identität kooptieren könnten.
Die Bestätigung in zwei Schritten ist ebenfalls für August 2021 geplant und wird nach der Implementierung für alle neuen Entwicklerkonten erforderlich sein. Die zusätzliche Hürde wird es für Angreifer noch schwieriger (aber immer noch nicht unmöglich) machen, die Erstellung von Google Play-Konten auszunutzen, obwohl sie noch nicht in Kraft getreten ist.
"Die von Google implementierte Lösung ist vielversprechend und ein guter Anfang, um mit Cyber-Hacks fertig zu werden", sagte Harriet Chan, Mitbegründerin von CocoFinder, in einem E-Mail-Interview, "Es wäre besser, wenn sie eingebettet würden diese Technik so schnell wie möglich."
Google plant, später in diesem Jahr die Verifizierung von Kontaktdaten und die zweistufige Verifizierung auch für etablierte Entwicklerkonten obligatorisch zu machen. Dies wird wahrscheinlich viele davon abh alten, Stapel gefälschter Entwicklerkonten zu erstellen, aber mehrere Burner-Konten sind nur eines der vielen Probleme von Google Play.
Alles andere
Ein Berg einmaliger Burner-Accounts und gefälschter Entwickler-Accounts hat zweifellos zu den Sicherheitsproblemen von Google Play beigetragen. Viele dieser Arten von Konten wurden verwendet, um Benutzer dazu zu verleiten, bösartige Apps herunterzuladen, die sie für legitim hielten, betrügerische Apps hochzuladen usw. Das Hinzufügen von Kontaktinformationen und die Bestätigung in zwei Schritten trägt nicht viel dazu bei, andere Probleme wie das Klonen von Apps oder das Entwicklerkonto zu lösen Entführung, jedoch.
"Diese Nachricht wirft einige Fragen darüber auf, was die Absichten von Google sind und was diese Änderungen sowohl für Entwickler als auch für Benutzer bedeuten", sagte Brown weiter. „Themen wie gefälschte Apps mit gefälschten Bewertungen (oft von Spammern gekauft) wird es weiterhin geben. Google verspricht seit einiger Zeit, die Dinge zu verschärfen, aber diese letzte Änderung hat nur ein Datum für das Update festgelegt."
Während die neuen Sicherheitsmaßnahmen für Entwicklerkonten von Google definitiv hilfreich sein werden, können und sollten sie noch mehr tun, um die restlichen bekannten Probleme von Google Play zu lösen. Brown schlägt eine Option für Entwickler vor, Google mitzuteilen, dass sie verifiziert sind, wenn sie Malware- und Spam-Apps melden, und Google unter „extremen“Umständen eingreifen zu lassen. Dies würde es Google erleichtern, bösartige Apps zu erkennen und mit ihnen umzugehen, und gleichzeitig geprüften Entwicklern eine zuverlässigere Möglichkeit bieten, fragwürdige Apps und Konten zu melden.
Die von Google implementierte Lösung ist vielversprechend und ein guter Anfang, um mit Cyber-Hacks fertig zu werden.
Chan möchte Account-Hacking und Unterbrechungen direkter angehen und schlägt noch strengere Multi-Faktor-Authentifizierungsanforderungen wie Codes und Gesichtserkennung vor. Token-basierte Autorisierung und zertifikatsbasierte Identifizierung wurden ebenfalls empfohlen, um Entwicklerkonten eine noch solidere Benutzerverifizierung zu ermöglichen. Diese Maßnahmen würden es viel schwieriger machen, die Kontrolle über das Konto eines etablierten Entwicklers zu übernehmen, und möglicherweise verhindern, dass bösartige Software in ihrem Namen hochgeladen wird.
Am Ende sind sich sowohl Brown als auch Chan einig, dass Google einen vielversprechenden Start hingelegt hat, und hoffen, dass die Sicherheitsverbesserungen für Entwicklerkonten hier nicht enden werden.
