Gadgetshowto
O Google revelou que descobriu uma vulnerabilidade séria no primeiro instalador Quinzena da Epic para Android, potencialmente permitindo que qualquer aplicativo com a permissão WRITE_EXTERNAL_STORAGE substitua o APK imediatamente após o download ser concluído e a impressão digital verificada.
De acordo com uma postagem do issutracker feita por um Googler, a falha permitia que os criminosos cibernéticos 'facilmente' realizar um ataque usando um FileObserver, após o qual o instalador Fortnite continuará a instalar o APK substituído (falso).
Como pode ser visto no tópico, o Google aparentemente notificou a Epic sobre sua descoberta em 15 de agosto, após o que a Epic teve 90 dias para consertar as falhas, de acordo com as práticas padrão da indústria. Acontece que a vulnerabilidade foi corrigida em apenas alguns dias, com o representante da empresa anunciando a implantação do patch no dia 17.
De acordo com a Epic InfoSec, o patch mudará o diretório de armazenamento de APK padrão de externo para armazenamento interno, ajudando assim a prevenir ataques Man-in-the-Disk (MITD) durante o fluxo de instalação.
O que é interessante é que a Epic ainda solicitou ao Google que não revelasse a falha pelo período completo de 90 dias, para que seus usuários tivessem tempo para corrigir seus instaladores. No entanto, o Google não aceitou o prazo e acabou abrindo o tópico ao público apenas sete dias após a implantação do patch, em linha com as práticas de divulgação padrão da empresa.
O CEO da Epic Games, Tim Sweeney, expressou sua insatisfação com a divulgação antecipada do Google, chamando-a de 'irresponsável' decisão que pode colocar em perigo usuários inocentes. Em um comunicado ao Android Central, ele disse, “Foi irresponsável do Google divulgar publicamente os detalhes técnicos da falha tão rapidamente, enquanto muitas instalações ainda não haviam sido atualizadas e ainda estavam vulneráveis”.
“Os esforços de análise de segurança do Google são apreciados e beneficiam a plataforma Android, no entanto, uma empresa tão poderosa como o Google deve praticar um tempo de divulgação mais responsável do que isso, e não colocar os usuários em risco no curso de seus esforços de contra-PR contra a distribuição da Epic do Fortnite fora do Google Jogar"
Para entender por que a Epic e o Google estão tão insatisfeitos um com o outro agora, é preciso saber a história recente em torno do lançamento do Fortnite no Android. Mesmo quando o jogo finalmente foi lançado no Android, muito depois de fazer sua estreia no iOS, a Epic e a Tencent decidiram distribuir o jogo por meio de sua própria plataforma, em vez da Google Play Store.
Foi em grande parte uma decisão de negócios para os editores do jogo, que não queriam dividir a receita do jogo com o Google, que fica com 30% de todas as compras feitas na Play Store. Nem é preciso dizer que a gigante da tecnologia não gostou da decisão, já que aparentemente perderá US $ 50 milhões só neste ano por causa da situação.
