Epic Games está loco en Google por publicar una vulnerabilidad de seguridad de Fortnite tan rápidamente

«>

Cuando le dijimos que todo estaría bien con la distribución de Fortnite a través de Epic Games, fuera de Google Play, lo hicimos porque operamos bajo el supuesto de que Epic Games cuidaría a sus usuarios. Asumimos que si recogía Fortnite directamente de Epic y no de otro sitio de aplicación de terceros, estaría bien. Y esa idea se mantuvo hasta el día en que Epic Games lanzó Fortnite a través de un instalador con un problema de seguridad bastante importante que Google descubrió casi de inmediato.

El 15 de agosto, Google abrió un problema privado en su Issue Tracker para señalar a Epic Games que su aplicación instaladora podría ser secuestrada para instalar casi cualquier otra aplicación debido a la forma en que el instalador estaba descargando el archivo APK para Fortnite. El instalador de Fortnite originalmente solo estaba descargando el APK de Fortnite a una ubicación de almacenamiento externo en lugar de una ubicación interna. Al hacerlo, cualquier aplicación con un permiso particular podría reemplazar el Fortnite APK descargado e instalarlo en su lugar sin que el usuario sepa lo que acaba de suceder. Esto se llama un ataque de hombre en el disco y puede leer más sobre esto aquí.

Para solucionar el problema, Google recomendó que Epic cambiara esa ubicación de almacenamiento a interna. A los pocos minutos de haber sido notificados en el Issue Tracker de Google, Epic Games respondió, reconoció el problema y dijo que estaban «trabajando las 24 horas para solucionarlo».»Hicieron exactamente eso y emitieron una actualización para los usuarios.

En ese momento, Epic le pidió a Google que evitara revelar la vulnerabilidad durante 90 días para permitir a sus usuarios actualizar sus dispositivos con el instalador fijo. Google hizo público el hilo del rastreador de problemas el séptimo día después de que Epic les dijo que el problema había sido solucionado. Una vez más, Epic pidió 90 días y Google fue con 7 ya que eso estaba «en línea con las prácticas de divulgación estándar de Google».»Ese lanzamiento anterior a lo esperado seguramente molestó a Epic Games y ahora sugieren que Google hizo esto como parte de un esfuerzo de» contra-PR «contra Epic por no distribuir Fortnite a través de Google Play.

El CEO de Epic Games, Tim Sweeney, dijo lo siguiente:

«Epic realmente apreció el esfuerzo de Google para realizar una auditoría de seguridad en profundidad de Fortnite inmediatamente después de nuestro lanzamiento en Android, y compartir los resultados con Epic para que podamos emitir rápidamente una actualización para corregir la falla que descubrieron».

Sin embargo, fue irresponsable de Google revelar públicamente los detalles técnicos de la falla tan rápidamente, mientras que muchas instalaciones aún no se habían actualizado y aún eran vulnerables.

Un ingeniero de seguridad de Epic, a instancias mías, solicitó a Google retrasar la divulgación pública durante los 90 días típicos para dar tiempo a que la actualización se instale más ampliamente. Google se negó. Puede leerlo todo en https://issuetracker.google.com/issues/112630336

Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android, sin embargo, una compañía tan poderosa como Google debería practicar un tiempo de divulgación más responsable que este, y no poner en peligro a los usuarios en el curso de sus esfuerzos de contra-PR contra la distribución de Fortnite por parte de Epic fuera de Google Play .»

Mira, está realmente enojado con Google.

Aquí está mi pequeña toma poco interesante. Tal vez si planeas sacudir el sistema, Epic Games, no deberías joder tanto por la puerta. Olvida lo que acaba de hacer Google. Recuerde, cuando reconoció por primera vez que lanzaría Fortnite directamente a los usuarios, dijo que estaba bien porque sus usuarios eran inteligentes y sabían cómo obtenerlo legítimamente. Entonces hicieron eso de usted y, sin embargo, usted fue quien terminó poniéndolos en riesgo. Jesús.

Todavía creo que este modelo de distribución está bien y no vale la pena asustarse de algunos en la prensa, pero este no es exactamente un gran comienzo. Si Epic quiere que las personas crean que les importa la seguridad y que este método de distribución no expondrá a millones de personas, tal vez nos preocupemos menos por lo que Google está haciendo y, en cambio, hagamos bien su propio producto.

// Mashable

Deja un comentario

Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124