Gadgetshowto
Google ha rivelato di aver scoperto una grave vulnerabilità nel primo programma di installazione di Epic Fortnight per Android, consentendo potenzialmente a qualsiasi app con l'autorizzazione WRITE_EXTERNAL_STORAGE di sostituire l'APK immediatamente dopo il completamento del download e la verifica dell'impronta digitale.
Secondo un post di issutracker di un googler, il difetto ha consentito ai criminali informatici di farlo 'facilmente' effettuare un attacco utilizzando un FileObserver, dopodiché il Fortnite Installer procederà all'installazione dell'APK sostituito (fake).
Come si può vedere dal thread, Google apparentemente ha notificato a Epic la sua scoperta il 15 agosto, dopodiché Epic ha avuto 90 giorni per riparare i difetti, in linea con le pratiche standard del settore. A quanto pare, la vulnerabilità è stata risolta in un paio di giorni, con il rappresentante dell'azienda che ha annunciato l'implementazione della patch il 17.
Secondo Epic InfoSec, la patch cambierà la directory di archiviazione APK predefinita dalla memoria esterna a quella interna, aiutando così a prevenire attacchi Man-in-the-Disk (MITD) durante il flusso di installazione.
La cosa interessante è che Epic ha comunque richiesto a Google di non rivelare il difetto per l'intero periodo di 90 giorni, in modo che i suoi utenti abbiano il tempo di applicare patch ai loro installatori. Tuttavia, Google non è stata d'accordo con il lasso di tempo e ha finito per aprire il thread al pubblico solo sette giorni dopo l'implementazione della patch, in linea con le pratiche di divulgazione standard dell'azienda.
Il CEO di Epic Games Tim Sweeney ha espresso la sua insoddisfazione per la divulgazione anticipata di Google, definendolo un 'irresponsabile' decisione che può mettere in pericolo utenti innocenti. In una dichiarazione ad Android Central, ha detto, "È stato irresponsabile da parte di Google divulgare pubblicamente i dettagli tecnici del difetto così rapidamente, mentre molte installazioni non erano ancora state aggiornate ed erano ancora vulnerabili".
"Gli sforzi di analisi della sicurezza di Google sono apprezzati e avvantaggiano la piattaforma Android, tuttavia un'azienda potente come Google dovrebbe praticare tempi di divulgazione più responsabili di questo e non mettere in pericolo gli utenti nel corso dei suoi sforzi di controprestazione contro la distribuzione di Fortnite da parte di Epic al di fuori di Google Giocare"
Per capire perché Epic e Google sono così completamente insoddisfatti l'uno dell'altro in questo momento, è necessario conoscere il recente retroscena che circonda il lancio di Fortnite su Android. Anche se il gioco è stato finalmente lanciato su Android molto tempo dopo aver fatto il suo debutto su iOS, Epic e Tencent hanno deciso di distribuire il gioco attraverso la propria piattaforma, piuttosto che tramite Google Play Store.
È stata in gran parte una decisione aziendale per gli editori del gioco, che non volevano condividere le entrate del gioco con Google, che prende il 30% di tutti gli acquisti effettuati tramite il Play Store. Inutile dire che il gigante della tecnologia non è stato divertito dalla decisione, dato che apparentemente rischia di perdere $ 50 milioni solo quest'anno a causa della situazione.
