Gadgetshowto
Google har avslöjat att det upptäckte en allvarlig sårbarhet i Epics första Fortnight-installationsprogram för Android, vilket möjliggör att alla appar med WRITE_EXTERNAL_STORAGE-behörighet kan ersätta APK omedelbart efter nedladdningen och fingeravtrycket har verifierats.
Enligt en utgivarpost av en Googler tillät bristen cyber-brottslingar att 'lätt' utföra en attack med en FileObserver, efter vilken Fortnite Installer fortsätter att installera den ersatta (falska) APK.
Som framgår av tråden meddelade Google uppenbarligen Epic om dess upptäckt den 15 augusti, varefter Epic hade 90 dagar på sig att korrigera bristerna, i linje med standardindustrins praxis. Som det visar sig lappades sårbarheten upp på bara ett par dagar, med företagsrepresentanten som meddelade utplaceringen av lappen den 17.
Enligt Epic InfoSec kommer korrigeringsfilen att ändra standard-APK-lagringskatalogen från extern till intern lagring, vilket hjälper till att förhindra MITD-attacker (Man-in-the-Disk) under installationsflödet.
Det som är intressant är att Epic fortfarande bad Google att inte avslöja felet under hela 90-dagarsperioden, så att dess användare har tid att korrigera sina installatörer. Google kom dock inte ombord med tidsramen och slutade med att öppna tråden för allmänheten bara sju dagar efter att plåstret hade distribuerats, i linje med företagets standardiserade praxis för avslöjande..
Epic Games VD Tim Sweeney uttryckte sitt missnöje med Googles tidiga utlämnande och kallade det en 'oansvarig' beslut som kan äventyra oskyldiga användare. I ett uttalande till Android Central sa han, "Det var oansvarigt av Google att offentliggöra de tekniska detaljerna i felet så snabbt, medan många installationer ännu inte hade uppdaterats och fortfarande var sårbara".
”Googles ansträngningar för säkerhetsanalys är uppskattade och gynnar Android-plattformen, men ett företag som är så kraftfullt som Google bör utöva mer ansvarsfull information när det gäller avslöjande än detta, och inte äventyra användare under sina mot-PR-ansträngningar mot Epics distribution av Fortnite utanför Google Spela"
För att förstå varför Epic och Google är så fullständigt missnöjda med varandra just nu måste man känna till den senaste bakgrundshistorien kring lanseringen av Fortnite på Android. Även när spelet äntligen lanserades på Android långt efter att ha debuterat på iOS, bestämde Epic och Tencent att distribuera spelet via sin egen plattform, snarare än via Google Play Butik..
Det var till stor del ett affärsbeslut för spelets publicister, som inte ville dela intäkterna från spelet med Google, som tar 30 procent av alla inköp som görs via Play Store. Självklart roade sig inte teknikjätten av beslutet, med tanke på att det tydligen står förlorat 50 miljoner dollar bara i år på grund av situationen.
