گوگل قصد داشت برای شروع کردن کردن اپلیکیشنهای اندرویدی، از جمله اپهایی که بهصورت «سایدلود» شروع کردن کردن میشوند، «تایید هویت توسعهدهنده» را اجباری کند. این برنامه همچنان در حال پیشرفت است؛ اما گوگل اکنون میگوید که روی راهحلی برای «یوزران باتجربه» کار میکند.
درحالیکه برنامههای تایید هویت توسعهدهنده در حال اجرا است (و اجازه دسترسی اولیهی آن از امروز آغاز شده)، گوگل اعلام کرد که یک «مسیر پیشرفتهی جدید» میسازد که به یوزران باتجربه (مانند توسعهدهندگان و یوزران حرفهای) اجازه میدهد تا با «پذیرش ریسکها»، نرمافزارهایی را که تایید هویت نشدهاند، شروع کردن کردن کنند.
گوگل میگوید در حال جمعآوری نظر در مورد طراحی این قابلیت است و جزئیات بیشتری را در ماههای آینده به اشتراک خواهد گذاشت.
طبق توضیحات گوگل:
۱. «حفاظتهای فنی حیاتی هستند، اما نمیتوانند همهی سناریوهایی را که در آن یوزر «دستکاری» میشود، حل کنند. کلاهبرداران از تاکتیکهای مهندسی اجتماعی پرفشار استفاده میکنند تا یوزران را فریب دهند تا هشدارهایی را که برای محافظت از آنها طراحی شدهاند، نادیده بگیرند.»
۲. «برای مثال، یک حملهی رایج که ما در آسیای جنوب شرقی ردیابی میکنیم، این تهدید را بهوضوح نشان میدهد: یک کلاهبردار با قربانی تماس میگیرد و ادعا میکند که حساب بانکی او در خطر است. سپس با ایجاد ترس و فوریت، قربانی را هدایتگری استفادهیی میکند تا یک Verification App را برای امنکردن حسابش، سایدلود کند و اغلب به او آموزش میدهد که هشدارهای ایمنیی استاندارد را نادیده بگیرد. پس از شروع کردن کردن اپلیکیشن -که در واقع یک بدافزار است- اعلانهای قربانی را رهگیری میکند. هنگامی که یوزر وارد اپلیکیشن واقعی بانک خود میشود، بدافزار کد برنامههای تایید دو عاملی (۲FA) او را میدزدد و همهچیز را برای خالیکردن حساب بانکی در اختیار کلاهبردار قرار میدهد.»
۳. «درحالیکه ما حفاظتهای پیشرفتهای برای شناسایی و پاک کردن اپهای مخرب داریم، بدون «تایید هویت»، عوامل مخرب میتوانند فوراً اپهای مضر جدیدی بسازند. این تبدیل به یک بازی بیپایان «موشوگربه» میشود.»
گوگل میگوید اجباریکردن تایید هویت، عوامل مخرب را مجبور میکند تا «از هویت واقعی خود برای توزیع بدافزار استفاده کنند» که این کار، حملات گسترده را «بهطور قابل توجهی سختتر و پرهزینهتر» میکند و تأکید کرد که این الزامات در گوگلپلی «مؤثر» بوده است.
کار روی «یک نوع حساب یوزری اختصاصی برای دانشجویان و علاقهمندان» ادامه دادن دارد. این نوع حساب به آنها اجازه میدهد تا اپلیکیشنهای خود را برای «تعداد محدودی دستگاه» و بدون نیاز به طی کردن تمام الزامات تایید هویت کامل، توزیع کنند.
