Bài học rút ra chính
- Google Play đã giải quyết một số vấn đề liên quan đến bảo mật kể từ khi thành lập, với việc Google cuối cùng đã giải quyết được việc thiếu xác minh tạo tài khoản.
- Mặc dù xác minh tạo tài khoản thích hợp giúp ngăn chặn quá trình tạo nhiều tài khoản ghi, nhưng nó không giải quyết được mọi thứ.
- Google vẫn phải làm điều gì đó về việc chiếm đoạt tài khoản nhà phát triển, sao chép ứng dụng, đánh giá ứng dụng giả mạo và hơn thế nữa.
Google gần đây đã bắt đầu yêu cầu xác minh thêm cho các tài khoản nhà phát triển trên Google Play - một phản ứng đối với các bên độc hại tạo nhiều tài khoản để bán - nhưng nó có thể làm được nhiều hơn thế.
Bảo mật tài khoản nhà phát triển trên Google Play chưa có thành tích tốt nhất, với việc đăng ký cơ bản không yêu cầu bất kỳ hình thức xác minh chi tiết liên hệ nào. Một số nhóm đã lợi dụng sự giám sát này để tạo nhiều tài khoản, sau đó bán các tài khoản đó cho những người tải lên phần mềm độc hại, ứng dụng lừa đảo, v.v. Gần đây, Google đã cập nhật tính năng tạo tài khoản nhà phát triển để yêu cầu xác minh thông tin liên hệ cho các tài khoản mới, nhưng đó là một khởi đầu tốt hơn là một câu trả lời đầy đủ cho các vấn đề đang diễn ra.
"Đó là một bước đi đúng hướng của Google khi họ bắt đầu bảo vệ nguồn doanh thu của mình", Katherine Brown, người sáng lập Spyic, cho biết trong một cuộc phỏng vấn qua email với Lifewire, "Nó cũng sẽ bảo vệ người dùng khỏi các ứng dụng sơ sài hoặc độc hại có trên thị trường vì chúng sẽ bị xóa."
Một Bước đầu Tốt đẹp
Bằng cách yêu cầu các tài khoản nhà phát triển Google Play mới xác minh thông tin liên hệ của họ, Google đang gây khó khăn hơn (mặc dù không phải là không thể) để dễ dàng tạo nhiều tài khoản cùng một lúc. Đặt xác minh làm tùy chọn cho các tài khoản hiện có cũng giúp bảo vệ tốt hơn các nhà phát triển hợp pháp khỏi các nỗ lực tấn công và tài khoản giả mạo có thể đồng chọn danh tính của họ.
Xác minh hai bước cũng được lên kế hoạch cho tháng 8 năm 2021 và sẽ được yêu cầu đối với tất cả các tài khoản nhà phát triển mới sau khi được triển khai. Rào cản được thêm vào sẽ càng khiến những kẻ xấu khó khăn hơn (mặc dù không phải là không thể) tận dụng các sáng tạo của tài khoản Google Play, mặc dù nó chưa có hiệu lực.
"Giải pháp do Google triển khai đầy hứa hẹn và đó là một khởi đầu tốt để đối phó với các vụ tấn công mạng", Harriet Chan, đồng sáng lập CocoFinder, cho biết trong một cuộc phỏng vấn qua email, "Sẽ tốt hơn nếu họ nhúng kỹ thuật này càng nhanh càng tốt."
Google đang có kế hoạch bắt buộc xác minh chi tiết liên hệ và xác minh hai bước, ngay cả đối với các tài khoản nhà phát triển đã thiết lập, vào cuối năm nay. Điều này có thể sẽ ngăn nhiều người tạo hàng loạt tài khoản nhà phát triển giả mạo, nhưng nhiều tài khoản ghi chỉ là một trong nhiều vấn đề của Google Play.
Mọi thứ khác
Chắc chắn là hàng núi tài khoản ghi một lần và tài khoản nhà phát triển giả mạo đã góp phần vào các vấn đề bảo mật của Google Play. Nhiều loại tài khoản trong số này đã được sử dụng để lừa người dùng tải xuống các ứng dụng độc hại mà họ cho là hợp pháp, tải lên các ứng dụng lừa đảo, v.v. Thêm thông tin liên hệ và xác minh hai bước không có tác dụng gì nhiều để giải quyết các vấn đề khác như sao chép ứng dụng hoặc tài khoản nhà phát triển chiếm đoạt, tuy nhiên.
"Tin tức này đặt ra khá nhiều câu hỏi về ý định của Google là gì và những thay đổi này có ý nghĩa như thế nào đối với cả nhà phát triển và người dùng", Brown tiếp tục nói. "Các chủ đề như ứng dụng giả mạo với các đánh giá giả mạo (thường được mua bởi những kẻ gửi thư rác) sẽ vẫn tồn tại. Google đã hứa sẽ thắt chặt mọi thứ trong một thời gian, nhưng thay đổi mới nhất này chỉ ấn định thời điểm cập nhật."
Mặc dù các biện pháp bảo mật tài khoản dành cho nhà phát triển mới của Google chắc chắn sẽ hữu ích nhưng còn nhiều biện pháp mà họ có thể và nên làm để giải quyết phần còn lại của các vấn đề đã biết của Google Play. Brown đề xuất một tùy chọn để các nhà phát triển cho Google biết rằng họ đã được xác minh khi báo cáo phần mềm độc hại và ứng dụng spam, cũng như nhờ Google can thiệp trong những trường hợp "cực đoan". Điều này sẽ giúp Google dễ dàng tìm hiểu và đối phó với các ứng dụng độc hại, đồng thời cung cấp cho các nhà phát triển đã được kiểm tra một cách đáng tin cậy hơn để báo cáo các ứng dụng và tài khoản có vấn đề.
Giải pháp do Google triển khai đầy hứa hẹn và đây là một khởi đầu tốt để đối phó với các vụ tấn công mạng.
Chan muốn giải quyết trực tiếp hơn việc hack và gián đoạn tài khoản, đề xuất các yêu cầu xác thực đa yếu tố mạnh mẽ hơn như mã và nhận dạng khuôn mặt. Ủy quyền dựa trên mã thông báo và nhận dạng dựa trên chứng chỉ cũng được đề xuất như một phương tiện cung cấp cho tài khoản nhà phát triển khả năng xác minh người dùng chắc chắn hơn. Các biện pháp này sẽ khiến việc kiểm soát tài khoản của nhà phát triển đã có uy tín trở nên khó khăn hơn nhiều và có khả năng ngăn phần mềm độc hại được tải lên dưới tên của họ.
Cuối cùng, cả Brown và Chan đều đồng ý rằng Google có một khởi đầu đầy hứa hẹn và hy vọng những cải tiến về bảo mật tài khoản nhà phát triển sẽ không kết thúc ở đây.