Gadgetshowto
Firma Google ujawniła, że wykryła poważną lukę w pierwszym instalatorze Fortnight dla Androida firmy Epic, która potencjalnie pozwala dowolnej aplikacji z uprawnieniem WRITE_EXTERNAL_STORAGE na zastąpienie APK natychmiast po zakończeniu pobierania i zweryfikowaniu odcisku palca.
Według posta issutracker opublikowanego przez Googlera, wada pozwalała na to cyberprzestępcom 'z łatwością' przeprowadzić atak za pomocą FileObserver, po czym instalator Fortnite przystąpi do instalacji podstawionego (fałszywego) pliku APK.
Jak widać z wątku, Google najwyraźniej powiadomił Epic o swoim odkryciu 15 sierpnia, po czym Epic miał 90 dni na naprawienie błędów, zgodnie ze standardowymi praktykami branżowymi. Jak się okazuje, luka została załatana w ciągu zaledwie kilku dni, a przedstawiciel firmy poinformował o wdrożeniu łatki 17..
Według Epic InfoSec, poprawka zmieni domyślny katalog przechowywania APK z pamięci zewnętrznej na pamięć wewnętrzną, pomagając w ten sposób zapobiegać atakom typu Man-in-the-Disk (MITD) podczas przepływu instalacji.
Co ciekawe, Epic nadal żądał od Google, aby nie ujawniał usterki przez pełne 90 dni, aby użytkownicy mieli czas na poprawienie swoich instalatorów. Jednak Google nie dotrzymał terminu i ostatecznie otworzył wątek dla opinii publicznej zaledwie siedem dni po wdrożeniu poprawki, zgodnie ze standardowymi praktykami firmy w zakresie ujawniania informacji..
CEO Epic Games, Tim Sweeney, wyraził niezadowolenie z wczesnego ujawnienia przez Google, nazywając to 'nieodpowiedzialny' decyzja, która może zagrozić niewinnym użytkownikom. W oświadczeniu dla Android Central, powiedział, „Google było nieodpowiedzialne, aby publicznie ujawnić szczegóły techniczne usterki tak szybko, podczas gdy wiele instalacji nie zostało jeszcze zaktualizowanych i nadal zawierały luki”.
„Wysiłki Google w zakresie analizy bezpieczeństwa są doceniane i przynoszą korzyści platformie Android, jednak firma tak potężna jak Google powinna stosować bardziej odpowiedzialny czas ujawniania informacji i nie zagrażać użytkownikom w trakcie swoich działań kontr-PR przeciwko rozpowszechnianiu Fortnite przez Epic poza Google Grać"
Aby zrozumieć, dlaczego Epic i Google są teraz tak bardzo ze siebie niezadowoleni, trzeba poznać niedawną historię związaną z uruchomieniem Fortnite na Androida. Mimo że gra została ostatecznie uruchomiona na Androida długo po debiucie na iOS, Epic i Tencent zdecydowali się rozpowszechniać grę za pośrednictwem własnej platformy, a nie za pośrednictwem sklepu Google Play..
W dużej mierze była to decyzja biznesowa wydawców gry, którzy nie chcieli dzielić się przychodami z gry z Google, które pochłania 30 procent wszystkich zakupów dokonanych w Sklepie Play. Jest rzeczą oczywistą, że gigant technologiczny nie był rozbawiony decyzją, biorąc pod uwagę, że najwyraźniej tylko w tym roku może stracić 50 milionów dolarów z powodu sytuacji.
