Gadgetshowto
Google odhalil, že objevil závažnou chybu zabezpečení v prvním instalačním programu Epic pro Fortnight pro Android, což potenciálně umožňuje jakékoli aplikaci s oprávněním WRITE_EXTERNAL_STORAGE nahradit soubor APK ihned po dokončení stahování a ověření otisku prstu.
Podle příspěvku společnosti issutracker společnosti Google tato chyba umožnila počítačovým zločincům 'snadno' provést útok pomocí FileObserver, po kterém bude Fortnite Installer pokračovat v instalaci nahrazeného (falešného) APK.
Jak je vidět z vlákna, Google zjevně informoval společnost Epic o svém objevu 15. srpna, poté měla společnost Epic 90 dní na odstranění nedostatků v souladu se standardními průmyslovými postupy. Jak se ukázalo, zranitelnost byla opravena během několika dní, přičemž společnost rep oznámila zavedení opravy 17..
Podle Epic InfoSec oprava změní výchozí adresář úložiště APK z externího na interní úložiště, čímž pomůže zabránit útokům Man-in-the-Disk (MITD) během procesu instalace.
Zajímavé je, že společnost Epic stále požadovala, aby společnost Google neodhalila chybu po celou dobu 90 dnů, aby její uživatelé měli čas na opravu svých instalačních programů. Google se však nedostal na palubu s časovým rámcem a skončil otevřením vlákna pro veřejnost pouhých sedm dní po nasazení opravy, v souladu se standardními postupy zveřejňování společnosti.
Generální ředitel společnosti Epic Games Tim Sweeney vyjádřil nespokojenost s předčasným zveřejněním Googlu a označil jej za 'nezodpovědný' rozhodnutí, které může ohrozit nevinné uživatele. Ve svém prohlášení pro Android Central uvedl, „Bylo nezodpovědné, aby Google tak rychle zveřejnil technické podrobnosti chyby, zatímco mnoho instalací ještě nebylo aktualizováno a byly stále zranitelné“.
„Úsilí společnosti Google o bezpečnostní analýzu je oceňováno a prospívá platformě Android, nicméně tak silná společnost jako Google by měla praktikovat odpovědnější načasování zveřejňování informací než toto, a neohrožovat uživatele v rámci svých protinávrhových snah proti distribuci Forticu mimo společnost Epic mimo Google Hrát si"
Abychom pochopili, proč jsou Epic a Google právě teď mezi sebou tak naprosto nespokojeni, je třeba znát nedávný příběh kolem spuštění Fortnite v systému Android. I když byla hra konečně spuštěna na Androidu dlouho po debutu na iOS, Epic a Tencent se rozhodli distribuovat hru prostřednictvím své vlastní platformy, nikoli prostřednictvím obchodu Google Play.
Bylo to převážně obchodní rozhodnutí vydavatelů hry, kteří nechtěli sdílet příjmy z hry s Googlem, který zabírá 30 procent všech nákupů provedených prostřednictvím obchodu Play. Je samozřejmé, že technologický gigant nebyl rozhodnutím pobaven, vzhledem k tomu, že kvůli situaci zjevně letos přijde o 50 milionů dolarů.
