За прошлый год корпорация Google предотвратила мошеннические транзакции в магазине приложений Google Play на сумму в $2 млрд. Действия злоумышленников включали использование скомпрометированных способов оплаты, требования о возмещении за уже приобретённые элементы в приложениях и применение поддельных подарочных карт для покупок.
Google располагает двумя инструментами, которые разработчики используют для сокращения злоупотреблений на платформе: Voided Purchases API и Obfuscated Account ID. Первое решение предоставляет список покупок в приложении для каждого пользователя, после чего получить доступ к этим элементам будет невозможно. Второй инструмент позволяет обнаружить мошеннические транзакции, например устройства, совершающие покупки в одной и той же учётной записи в течение короткого промежутка времени.
Для снижения количества мошенничества Google выпустила для разработчиков Purchases.product.consume, при помощи которого можно использовать элементы в приложении через Play Developer API, снижая риск злоупотреблений на стороне клиента за счёт переноса бизнес-логики на защищённые серверные части.
При попытке злоумышленника приобрести товар в приложении и вмешаться в работу клиента покупка будет автоматически возвращена из-за отсутствия подтверждения в течение трёх дней после условной транзакции.
В начале марта старший директор по управлению продуктами и безопасностью приложений Android Бетел Отутай представил ряд мер по защите Google Play и Android. Google планирует создать более безопасный для конфиденциальности подход к рекламе, предоставить пользователям больший контроль над своими данными, увеличить защиту приложений от злоупотреблений и атак, организовать помощь в навигации по SDK, усилить защиту для детей и семей, содействовать ответственному сбору и использованию данных, поощрять инновации разработчиков при сохранении безопасности пользователей, предоставить более удобное взаимодействие с политикой Google и консолью.
