לאחרונה הודענו על דרישות אימות חדשות למפתחים, שמשמשות כשכבת הגנה נוספת במאמץ המתמשך שלנו לשמור על בטיחות משתמשי Android. אנחנו יודעים שהאבטחה הכי טובה היא כזו שמתחשבת בדרכים השונות שבהן אנשים משתמשים בכלים שלנו. לכן הודענו על השינוי הזה מוקדם: כדי לקבל משוב ולוודא שהפתרונות שלנו מאוזנים. אנחנו מעריכים את ההשתתפות של הקהילה, ושמענו את המשוב הראשוני – במיוחד מתלמידים ומחובבים שזקוקים לדרך נגישה ללמידה, ומשתמשים מתקדמים שמרגישים יותר בנוח עם סיכוני אבטחה. אנחנו מבצעים שינויים כדי לתת מענה לצרכים של שתי הקבוצות. 

כדי להבין איך העדכונים האלה משתלבים במשימה הרחבה יותר שלנו, חשוב קודם לבחון את האיומים הספציפיים שאנחנו מתמודדים איתם.

למה האימות חשוב

הבטיחות של המשתמשים ב-Android נמצאת בראש סדר העדיפויות שלנו. המאבק בתרמיות ובהונאות דיגיטליות הוא לא דבר חדש בשבילנו – הוא נמצא במוקד העבודה שלנו כבר שנים. מזיהוי תרמיות ב-Google Messages ועד Google Play Protect והתראות בזמן אמת על שיחות הונאה, אנחנו פועלים באופן עקבי כדי לשמור על הבטיחות של המערכת האקולוגית שלנו.

עם זאת, תרמיות באינטרנט וקמפיינים של תוכנות זדוניות הופכים לאגרסיביים יותר. בסדר הגודל הגלובלי של Android, המשמעות היא פגיעה אמיתית באנשים ברחבי העולם – במיוחד באזורים שבהם מתבצעת דיגיטציה מהירה, ובהם אנשים רבים מתחברים לאינטרנט בפעם הראשונה. אמצעי הגנה טכניים הם חשובים מאוד, אבל הם לא יכולים לפתור כל תרחיש שבו משתמש עובר מניפולציה. נוכלים משתמשים בטקטיקות של הנדסה חברתית שיוצרות לחץ רב על המשתמשים, כדי לגרום להם לעקוף את האזהרות שנועדו להגן עליהם.

לדוגמה, מתקפה נפוצה שאנחנו עוקבים אחריה בדרום-מזרח אסיה ממחישה את האיום הזה בצורה ברורה. רמאי מתקשר לקורבן וטוען שהחשבון הבנקאי שלו נפרץ. הרמאי משתמש בטקטיקות של הפחדה ודחיפות כדי להנחות את הקורבן לבצע העברה צדדית של 'אפליקציית אימות' כדי לאבטח את הכספים שלו. לעיתים קרובות הרמאי מנחה את הקורבן להתעלם מאזהרות אבטחה רגילות. אחרי ההתקנה, האפליקציה הזו – שהיא למעשה תוכנה זדונית – מיירטת את ההתראות של הקורבן. כשהמשתמש מתחבר לאפליקציית הבנק האמיתית שלו, התוכנה הזדונית מצלמת את קודי האימות הדו-שלבי שלו, וכך הרמאי מקבל את כל מה שהוא צריך כדי לרוקן את החשבון.

יש לנו אמצעי הגנה מתקדמים לאיתור אפליקציות מזיקות ולהסרתן, אבל בלי אימות, גורמים זדוניים יכולים התחלת הרצה אפליקציות מזיקות חדשות באופן מיידי. זה הופך למשחק אינסופי של מחבואים. האימות משנה את המתמטיקה בכך שהוא מחייב את התוקפים להשתמש בזהות אמיתית כדי להפיץ תוכנות זדוניות, מה שמקשה מאוד על התקפות ומייקר את ההרחבה שלהן. כבר ראינו עד כמה זה יעיל ב-Google Play, ועכשיו אנחנו מיישמים את הלקחים האלה במערכת האקולוגית הרחבה יותר של Android כדי לוודא שיש זהות אמיתית ואחראית מאחורי התוכנה שאתם מתקינים.

תמיכה בתלמידים ובחובבים

קיבלנו פניות ממפתחים שהביעו דאגה לגבי המכשול שמונע מהם לפתח אפליקציות שמיועדות רק לקבוצה קטנה, כמו משפחה או חברים. אנחנו משתמשים במידע שסיפקתם כדי ליצור סוג חשבון ייעודי לתלמידים ולחובבים. כך תוכלו להפיץ את היצירות שלכם למספר מוגבל של מכשירים בלי לעמוד בדרישות האימות המלאות.

מתן כלים למשתמשים מנוסים

אבטחה היא דבר חשוב, אבל שמענו גם ממפתחים ומשתמשים מתקדמים שמוכנים לקחת סיכון גבוה יותר ורוצים להוריד אפליקציות שלא אומתו.

על סמך המשוב הזה והשיחות המתמשכות שלנו עם הקהילה, אנחנו יוצרים תהליך מתקדם חדש שיאפשר למשתמשים מנוסים לקבל את הסיכונים בהתקנת תוכנה שלא אומתה. אנחנו מתכננים את התהליך הזה במיוחד כדי למנוע כפייה, ומוודאים שהמשתמשים לא ירומו כדי לעקוף את בדיקות הבטיחות האלה בזמן שהם נתונים ללחץ מצד נוכל. המודעות יכללו גם אזהרות ברורות כדי לוודא שהמשתמשים מבינים את הסיכונים הכרוכים בכך, אבל בסופו של דבר, הבחירה נתונה בידיהם. אנחנו אוספים כרגע משוב ראשוני על העיצוב של התכונה הזו, ונשתף פרטים נוספים בחודשים הקרובים. 

איך מתחילים להשתמש בגישה מוקדמת

אנחנו שמחים להתחיל לשלוח הזמנות למפתחים להצטרף לתוכנית הגישה המוקדמת לאימות מפתחים ב-Android Developer Console. התוכנית מיועדת למפתחים שמפיצים אפליקציות רק מחוץ ל-Play. בקרוב נשלח הזמנות למפתחים ב-Play להצטרף לתוכנית הגישה המוקדמת ב-Play Console. נשמח לקבל ממך שאלות ומשוב על שיפור חוויית השימוש לכל המפתחים.

בסרטון שבהמשך מוצג הסבר על חוויית השימוש החדשה ב-Android Developer Console. במדריכים שלנו אפשר למצוא פרטים נוספים ושאלות נפוצות.

אנחנו מחויבים לעבוד איתך כדי לשמור על בטיחות הסביבה העסקית, תוך הקפדה על ביצוע השינויים הנדרשים.