Da asporto chiave
- Google Play ha affrontato diversi problemi relativi alla sicurezza sin dal suo inizio, con Google che ha finalmente affrontato la mancanza di verifica della creazione dell'account.
- Sebbene una corretta verifica della creazione dell'account aiuti ad arginare il flusso di creazione di più account masterizzatori, non risolve tutto.
- Google deve ancora fare qualcosa per il dirottamento dell'account sviluppatore, la clonazione di app, le recensioni di app false e altro ancora.
Di recente Google ha iniziato a richiedere una verifica aggiuntiva per gli account sviluppatore di Google Play, una risposta ai malintenzionati che creano gruppi di account da vendere, ma potrebbe fare di più.
La sicurezza dell'account sviluppatore su Google Play non ha avuto il miglior track record, con la registrazione di base che non richiede alcuna forma di verifica dei dettagli di contatto. Alcuni gruppi stavano sfruttando questa svista per creare più account, per poi venderli a persone che avrebbero caricato malware, app truffa e così via. Google ha recentemente aggiornato la creazione dell'account sviluppatore per richiedere la verifica delle informazioni di contatto per i nuovi account, ma è più un inizio decente che una risposta completa ai problemi in corso.
"È una mossa nella giusta direzione per Google poiché inizia a proteggere la sua fonte di entrate", ha affermato Katherine Brown, la fondatrice di Spyic, in un'intervista via e-mail con Lifewire, "proteggerà anche gli utenti da app imprecise o dannose presenti nel mercato in quanto verranno rimosse."
Un buon primo passo
Richiedendo ai nuovi account sviluppatore di Google Play di verificare le loro informazioni di contatto, Google sta rendendo più difficile (sebbene non impossibile) creare facilmente più account contemporaneamente. Rendere la verifica un'opzione per gli account esistenti aiuta anche a proteggere meglio gli sviluppatori legittimi da tentativi di hacking e account falsi che potrebbero cooptare la loro identità.
La verifica in due passaggi è prevista anche per agosto 2021 e sarà richiesta per tutti i nuovi account sviluppatore una volta implementati. L'ostacolo aggiunto renderà ancora più difficile (anche se non impossibile) per i cattivi attori trarre vantaggio dalla creazione di account Google Play, anche se non è ancora entrato in vigore.
"La soluzione implementata da Google è promettente ed è un buon inizio per affrontare i cyber hack", ha affermato Harriet Chan, co-fondatrice di CocoFinder, in un'intervista via email, "Sarebbe meglio se incorporassero questa tecnica il più rapidamente possibile."
Google prevede di rendere obbligatorie la verifica dei dettagli di contatto e la verifica in due passaggi, anche per gli account sviluppatore consolidati, entro la fine dell'anno. Questo probabilmente dissuaderà molti dal creare lotti di account sviluppatore falsi, ma più account masterizzatori sono solo uno dei tanti problemi di Google Play.
Tutto il resto
Una montagna di account masterizzatori una tantum e account di sviluppatori falsi hanno contribuito ai problemi di sicurezza di Google Play, a dire il vero. Molti di questi tipi di account sono stati utilizzati per indurre gli utenti a scaricare app dannose che ritenevano legittime, caricare app truffa, ecc. L'aggiunta di informazioni di contatto e la verifica in due passaggi non fa molto per risolvere altri problemi come la clonazione di app o l'account sviluppatore dirottamento, tuttavia.
"Questa notizia solleva non poche domande su quali sono le intenzioni di Google e cosa significano questi cambiamenti sia per gli sviluppatori che per gli utenti", ha continuato Brown. "Argomenti come app false con recensioni false (spesso acquistate da spammer) continueranno a esistere. Google ha promesso di inasprire le cose da tempo, ma quest'ultima modifica ha solo fissato una data per l'aggiornamento."
Anche se le nuove misure di sicurezza dell'account sviluppatore di Google aiuteranno sicuramente, c'è di più che possono e dovrebbero fare per affrontare il resto dei problemi noti di Google Play. Brown suggerisce agli sviluppatori un'opzione per dire a Google che sono stati verificati quando segnalano malware e app di spam, oltre a far intervenire Google durante circostanze "estreme". Ciò renderebbe più facile per Google l'apprendimento e la gestione delle app dannose, offrendo anche agli sviluppatori controllati un modo più affidabile per segnalare app e account discutibili.
La soluzione implementata da Google è promettente ed è un buon inizio per affrontare i cyber hack.
Chan vuole affrontare l'hacking e le interruzioni dell'account in modo più diretto, suggerendo requisiti di autenticazione a più fattori ancora più forti come codici e riconoscimento facciale. Anche l'autorizzazione basata su token e l'identificazione basata su certificato sono state consigliate come mezzo per fornire agli account sviluppatore una verifica utente ancora più solida. Queste misure renderebbero molto più difficile assumere il controllo dell'account di uno sviluppatore affermato e potenzialmente impedirebbero il caricamento di software dannoso a loro nome.
Alla fine, sia Brown che Chan concordano sul fatto che Google ha un inizio promettente e sperano che i miglioramenti della sicurezza dell'account sviluppatore non finiscano qui.
