أعلنّا مؤخرًا عن متطلبات جديدة للتحقّق من هوية المطوِّر، وهي بمثابة طبقة دفاع إضافية في إطار جهودنا المستمرة للحفاظ على أمان مستخدمي Android. ندرك أنّ الأمان يكون في أفضل حالاته عندما يراعي الطرق المتنوعة التي يستخدم بها الأشخاص أدواتنا. لهذا السبب أعلنّا عن هذا التغيير في وقت مبكر: لجمع الملاحظات والتأكّد من أنّ حلولنا متوازنة. نقدّر تفاعل المنتدى، وقد تلقّينا ملاحظات مبكرة، لا سيما من الطلاب وهواة البرمجة الذين يحتاجون إلى مسار سهل للتعلّم، ومن المستخدمين المتمرسين الذين لا يمانعون المخاطر الأمنية. نحن بصدد إجراء تغييرات لتلبية احتياجات كلتا المجموعتَين. 

لفهم كيف تتناسب هذه التعديلات مع مهمتنا الأوسع نطاقًا، من المهم أولاً إلقاء نظرة على التهديدات المحددة التي نتصدى لها.

أهمية إثبات الملكية

إنّ الحفاظ على أمان المستخدمين على Android هو أهم أولوياتنا. إنّ مكافحة عمليات الاحتيال الرقمي ليست جديدة بالنسبة إلينا، بل كانت محور تركيزنا الأساسي لسنوات. بدءًا من ميزة "رصد عمليّة خداع" في تطبيق "رسائل Google" ووصولاً إلى خدمة "Google Play للحماية" والتنبيهات في الوقت الفعلي بشأن المكالمات الخادِعة، نتّخذ إجراءات باستمرار للحفاظ على أمان منظومتنا المتكاملة.

ومع ذلك، أصبحت عمليات الخداع على الإنترنت وحملات البرامج الضارة أكثر عدوانية. على مستوى Android العالمي، يؤدي ذلك إلى إلحاق ضرر حقيقي بالمستخدمين في جميع أنحاء العالم، لا سيما في المناطق التي تشهد تحوّلاً رقميًا سريعًا حيث يتصل العديد من المستخدمين بالإنترنت للمرة الأولى. إنّ إجراءات الحماية الفنية مهمة، ولكن لا يمكنها حلّ كل سيناريو يتم فيه التلاعب بالمستخدم. يستخدم المحتالون أساليب الهندسة الاجتماعية التي تفرض ضغطًا كبيرًا على المستخدمين لخداعهم وحثّهم على تجاهل التحذيرات المصمّمة لحمايتهم.

على سبيل المثال، يوضّح أحد الهجمات الشائعة التي نتتبّعها في جنوب شرق آسيا هذا التهديد بوضوح. يتصل المحتال بالضحية ويدّعي أنّه تم اختراق حسابها المصرفي، ويستخدم أسلوب التخويف والإلحاح لتوجيهها إلى تحميل "تطبيق التحقّق" من مصادر غير معروفة لتأمين أموالها، وغالبًا ما يطلب منها تجاهل تحذيرات الأمان العادية. وبعد تثبيت هذا التطبيق، الذي هو في الواقع برنامج ضار، يعترض الإشعارات التي يتلقّاها الضحية. عندما يسجّل المستخدم الدخول إلى تطبيق الخدمات المصرفية الحقيقي، تسجّل البرامج الضارة رموز المصادقة الثنائية، ما يمنح المحتال كل ما يحتاج إليه لسحب الأموال من الحساب.

على الرغم من أنّنا نملك تدابير وقاية وحماية متقدّمة لرصد التطبيقات الضارة وإزالتها، يمكن للجهات المسيئة إنشاء تطبيقات ضارة جديدة على الفور بدون إثبات الهوية. ويتحوّل الأمر إلى لعبة لا نهاية لها من ضرب الفئران. تؤدي عملية إثبات الملكية إلى تغيير الحسابات من خلال إجبارهم على استخدام هوية حقيقية لتوزيع البرامج الضارة، ما يجعل الهجمات أصعب وأكثر تكلفة بكثير. لقد رأينا بالفعل مدى فعالية هذا الإجراء على Google Play، ونطبّق الآن هذه الدروس المستفادة على نظام Android الأساسي الأوسع نطاقًا لضمان وجود هوية حقيقية ومسؤولة وراء البرامج التي تثبّتها.

دعم الطلاب وهواة التصوير

لقد تلقّينا ملاحظات من مطوّرين أعربوا عن قلقهم بشأن صعوبة إنشاء تطبيقات مخصّصة لمجموعة صغيرة فقط، مثل العائلة أو الأصدقاء. نحن نستخدم المعلومات التي تقدّمها لتصميم نوع حساب مخصّص للطلاب والهواة. سيسمح لك ذلك بتوزيع إبداعاتك على عدد محدود من الأجهزة بدون استيفاء متطلبات إثبات الهوية الكاملة.

توفير تجربة أفضل للمستخدمين المتمرّسين

على الرغم من أهمية الأمان، تلقّينا أيضًا ملاحظات من المطوّرين والمستخدمين المتمرّسين الذين لديهم قدرة أكبر على تحمّل المخاطر ويريدون إمكانية تنزيل التطبيقات التي لم يتم التحقّق منها.

استنادًا إلى هذه الملاحظات والمحادثات المستمرة مع المنتدى، نعمل على إنشاء مسار متقدّم جديد يتيح للمستخدمين المتمرّسين قبول مخاطر تثبيت البرامج التي لم يتم التحقّق منها. نصمّم هذا المسار خصيصًا لمقاومة الإكراه، ما يضمن عدم خداع المستخدمين لتجاوز عمليات التحقّق من الأمان هذه تحت ضغط من أحد المحتالين. وسيتضمّن أيضًا تحذيرات واضحة لضمان فهم المستخدمين للمخاطر بشكل كامل، ولكنّه يتيح لهم في النهاية اتّخاذ القرار. نحن بصدد جمع الملاحظات والآراء الأولية حول تصميم هذه الميزة وسنشارك المزيد من التفاصيل في الأشهر المقبلة. 

كيفية الاستفادة من البرنامج قبل إطلاقه

يسرّنا أن نبدأ في دعوة المطوّرين إلى استخدام ميزة التحقّق من هوية المطوِّر قبل إطلاقها في Android Developer Console للمطوّرين الذين يوزّعون تطبيقاتهم خارج Play فقط، وسنشارك قريبًا دعوات لتجربة ميزة التحقّق من هوية المطوِّر في Play Console للمطوّرين على Play. نتطلّع إلى تلقّي أسئلتك وملاحظاتك حول تبسيط التجربة لجميع المطوّرين.

شاهِد الفيديو أدناه للتعرّف على تجربة Android Developer Console الجديدة، واطّلِع على الأدلة لمزيد من التفاصيل والأسئلة الشائعة.

ونحن ملتزمون بالعمل معك للحفاظ على أمان المنظومة المتكاملة مع ضمان تنفيذ هذه التغييرات بشكل صحيح.