Gadgetshowto
Google a dezvăluit că a descoperit o vulnerabilitate gravă în primul program de instalare Epic pentru Android, care ar putea permite oricărei aplicații cu permisiunea WRITE_EXTERNAL_STORAGE să înlocuiască APK-ul imediat după finalizarea descărcării și verificarea amprentei digitale.
Potrivit unui post issutracker al unui Googler, defectul a permis infractorilor cibernetici să facă acest lucru 'uşor' efectuați un atac folosind un FileObserver, după care Fortnite Installer va proceda la instalarea APK-ului substituit (fals).
După cum se poate vedea din subiect, Google a notificat aparent Epic despre descoperirea sa pe 15 august, după care Epic a avut 90 de zile pentru a remedia defectele, în conformitate cu practicile standard din industrie. După cum se dovedește, vulnerabilitatea a fost reparată în doar câteva zile, reprezentantul companiei anunțând desfășurarea patch-ului pe 17.
Potrivit Epic InfoSec, patch-ul va schimba directorul de stocare APK implicit din stocarea externă în cea internă, ajutând astfel la prevenirea atacurilor Man-in-the-Disk (MITD) în timpul fluxului de instalare.
Ceea ce este interesant este că Epic a solicitat în continuare Google să nu dezvăluie defectul pentru întreaga perioadă de 90 de zile, astfel încât utilizatorii săi să aibă timp să-și corecte instalatorii. Cu toate acestea, Google nu a intrat la bord cu intervalul de timp și a ajuns să deschidă firul către public la doar șapte zile de la implementarea patch-ului, în conformitate cu practicile standard de divulgare ale companiei..
CEO-ul Epic Games, Tim Sweeney, și-a exprimat nemulțumirea față de dezvăluirea timpurie a Google, numindu-l „un” 'iresponsabil' decizie care poate pune în pericol utilizatorii nevinovați. Într-o declarație către Android Central, a spus el, „Google a fost iresponsabil să dezvăluie public detaliile tehnice ale defectului atât de repede, în timp ce multe instalații nu au fost încă actualizate și erau încă vulnerabile”.
„Eforturile de analiză a securității Google sunt apreciate și beneficiază de platforma Android, cu toate acestea, o companie la fel de puternică ca Google ar trebui să practice mai mult timp responsabil de divulgare decât aceasta și să nu pună în pericol utilizatorii în cursul eforturilor sale contra-PR împotriva distribuției Epic a Fortnite în afara Google Joaca"
Pentru a înțelege de ce Epic și Google sunt atât de nemulțumiți unul de celălalt chiar acum, trebuie să cunoașteți povestea recentă din jurul lansării Fortnite pe Android. Chiar dacă jocul a fost lansat în cele din urmă pe Android la mult timp după ce a debutat pe iOS, Epic și Tencent au decis să distribuie jocul prin propria lor platformă, mai degrabă decât prin Google Play Store.
A fost în mare parte o decizie de afaceri pentru editorii jocului, care nu au vrut să împartă veniturile din joc cu Google, care ia 30 la sută din toate achizițiile făcute prin Play Store. Este de la sine înțeles, gigantul tehnologic nu a fost amuzat de decizie, dat fiind că se pare că va pierde 50 de milioane de dolari doar anul acesta din cauza situației.
