Clé à emporter
- Google Play a dû faire face à plusieurs problèmes liés à la sécurité depuis sa création, et Google a finalement résolu le problème de l'absence de vérification de la création de compte.
- Bien qu'une bonne vérification de la création de compte aide à endiguer le flux de création de compte à plusieurs graveurs, elle ne résout pas tout.
- Google doit encore faire quelque chose contre le piratage de comptes de développeur, le clonage d'applications, les fausses critiques d'applications, etc.
Google a récemment commencé à exiger une vérification supplémentaire pour les comptes de développeur Google Play, une réponse aux parties malveillantes créant des lots de comptes à vendre, mais il pourrait faire plus.
La sécurité des comptes de développeur sur Google Play n'a pas fait ses preuves, l'inscription de base ne nécessitant aucune forme de vérification des coordonnées. Certains groupes exploitaient cet oubli pour créer plusieurs comptes, puis vendaient ces comptes à des personnes qui téléchargeaient des logiciels malveillants, des applications frauduleuses, etc. Google a récemment mis à jour la création d'un compte de développeur pour exiger la vérification des informations de contact pour les nouveaux comptes, mais c'est plus un bon début qu'une réponse complète aux problèmes en cours.
"C'est un pas dans la bonne direction pour Google car il commence à protéger sa source de revenus", a déclaré Katherine Brown, la fondatrice de Spyic, dans une interview par e-mail avec Lifewire, "Cela protégera également les utilisateurs contre applications sommaires ou malveillantes présentes sur le marché car elles seront supprimées."
Un bon premier pas
En exigeant que les nouveaux comptes de développeur Google Play vérifient leurs coordonnées, Google rend plus difficile (mais pas impossible) la création facile de plusieurs comptes à la fois. Faire de la vérification une option pour les comptes existants permet également de mieux protéger les développeurs légitimes contre les tentatives de piratage et les faux comptes qui peuvent coopter leur identité.
La validation en deux étapes est également prévue pour août 2021 et sera requise pour tous les nouveaux comptes de développeur une fois mis en œuvre. L'obstacle supplémentaire rendra encore plus difficile (mais toujours pas impossible) pour les mauvais acteurs de profiter des créations de compte Google Play, bien qu'il n'ait pas encore pris effet.
"La solution mise en place par Google est prometteuse, et c'est un bon début pour faire face aux cyberpirates", a déclaré Harriet Chan, co-fondatrice de CocoFinder, dans une interview par e-mail, "Ce serait mieux s'ils intégraient cette technique le plus rapidement possible."
Google prévoit de rendre la vérification des coordonnées et la vérification en deux étapes obligatoires, même pour les comptes de développeur établis, plus tard cette année. Cela en dissuadera probablement beaucoup de créer des lots de faux comptes de développeur, mais plusieurs comptes de graveur ne sont que l'un des nombreux problèmes de Google Play.
Tout le reste
Une montagne de comptes de graveur uniques et de faux comptes de développeur ont certainement contribué aux problèmes de sécurité de Google Play. Beaucoup de ces types de comptes ont été utilisés pour inciter les utilisateurs à télécharger des applications malveillantes qu'ils pensaient légitimes, à télécharger des applications frauduleuses, etc. L'ajout d'informations de contact et la vérification en deux étapes ne font pas grand-chose pour résoudre d'autres problèmes tels que le clonage d'applications ou le compte de développeur. détournement, cependant.
"Cette nouvelle soulève de nombreuses questions sur les intentions de Google et sur ce que ces changements signifient pour les développeurs et les utilisateurs", a poursuivi Brown. "Des sujets tels que les fausses applications avec de fausses critiques (souvent achetées par des spammeurs) existeront toujours. Google promet de resserrer les choses depuis un certain temps, mais ce dernier changement n'a fixé qu'une date pour la mise à jour."
Bien que les nouvelles mesures de sécurité des comptes de développeur de Google soient certainement utiles, elles peuvent et doivent faire plus pour résoudre les autres problèmes connus de Google Play. Brown suggère aux développeurs une option pour indiquer à Google qu'ils sont vérifiés lorsqu'ils signalent des logiciels malveillants et des applications de spam, ainsi que pour que Google intervienne dans des circonstances "extrêmes". Cela permettrait à Google d'apprendre et de gérer plus facilement les applications malveillantes, tout en offrant aux développeurs approuvés un moyen plus fiable de signaler les applications et les comptes douteux.
La solution mise en place par Google est prometteuse, et c'est un bon début pour faire face aux cyber hacks.
Chan souhaite s'attaquer plus directement au piratage et aux interruptions de compte, en suggérant des exigences d'authentification multifacteurs encore plus strictes, telles que les codes et la reconnaissance faciale. L'autorisation basée sur les jetons et l'identification basée sur les certificats ont également été recommandées comme moyen de fournir aux comptes de développeur une vérification des utilisateurs encore plus solide. Ces mesures rendraient beaucoup plus difficile la prise de contrôle du compte d'un développeur établi et empêcheraient potentiellement le téléchargement de logiciels malveillants en son nom.
En fin de compte, Brown et Chan conviennent que Google a un début prometteur et espèrent que les améliorations de la sécurité du compte développeur ne s'arrêteront pas là.
