Gadgetshowto
Google heeft onthuld dat het een ernstige kwetsbaarheid heeft ontdekt in Epic's eerste Fortnight-installatieprogramma voor Android, waardoor mogelijk elke app met de WRITE_EXTERNAL_STORAGE-toestemming de APK kan vervangen onmiddellijk nadat de download is voltooid en de vingerafdruk is geverifieerd.
Volgens een Issutracker-bericht van een Googler konden cybercriminelen dat lukken 'gemakkelijk' voer een aanval uit met behulp van een FileObserver, waarna het Fortnite-installatieprogramma doorgaat met het installeren van de gesubstitueerde (nep) APK.
Zoals te zien is in de thread, heeft Google Epic blijkbaar op 15 augustus op de hoogte gebracht van zijn ontdekking, waarna Epic 90 dagen had om de gebreken op te lossen, in overeenstemming met de standaardpraktijken in de branche. Het bleek dat de kwetsbaarheid binnen een paar dagen was hersteld, waarbij de vertegenwoordiger van het bedrijf de implementatie van de patch op de 17e aankondigde..
Volgens Epic InfoSec verandert de patch de standaard APK-opslagmap van externe naar interne opslag, waardoor Man-in-the-Disk (MITD) -aanvallen tijdens de installatie worden voorkomen..
Wat interessant is, is dat Epic Google nog steeds heeft verzocht om de fout gedurende de volledige periode van 90 dagen niet openbaar te maken, zodat gebruikers tijd hebben om hun installatieprogramma's te patchen. Google ging echter niet akkoord met het tijdsbestek en maakte de thread uiteindelijk zeven dagen nadat de patch was geïmplementeerd voor het publiek open, in overeenstemming met de standaard openbaarmakingspraktijken van het bedrijf..
Epic Games-CEO Tim Sweeney uitte zijn ongenoegen over de vroege bekendmaking van Google en noemde het een 'onverantwoordelijk' beslissing die onschuldige gebruikers in gevaar kan brengen. In een verklaring aan Android Central, zei hij, "Het was onverantwoordelijk van Google om de technische details van de fout zo snel openbaar te maken, terwijl veel installaties nog niet waren bijgewerkt en nog steeds kwetsbaar waren".
"De inspanningen van Google op het gebied van beveiligingsanalyses worden gewaardeerd en komen ten goede aan het Android-platform, maar een krachtig bedrijf als Google zou een meer verantwoorde timing van openbaarmaking moeten toepassen, en gebruikers niet in gevaar brengen tijdens zijn tegen-PR-inspanningen tegen Epic's distributie van Fortnite buiten Google Speel"
Om te begrijpen waarom Epic en Google op dit moment zo ontevreden over elkaar zijn, moet men het recente achtergrondverhaal kennen rond de lancering van Fortnite op Android. Zelfs toen de game eindelijk op Android werd gelanceerd, lang nadat ze zijn debuut maakte op iOS, besloten Epic en Tencent om de game via hun eigen platform te distribueren in plaats van via de Google Play Store..
Het was grotendeels een zakelijke beslissing voor de uitgevers van de game, die de inkomsten van de game niet wilden delen met Google, dat 30 procent van alle aankopen via de Play Store op zich neemt. Het behoeft geen betoog dat de technologiegigant niet geamuseerd was door het besluit, aangezien het blijkbaar alleen al dit jaar $ 50 miljoen zal verliezen vanwege de situatie.
