Google Play Store
Еще в начале августа Epic Games обнародовали решение не использовать Google Play Store для Fortnite на Android. Незамедлительно последовал ответ от Google с предупреждением о том, что их установщик в последующем смогут перехватить злоумышленники и поставить всех игроков под угрозу. Несмотря на это, Epic продолжили работу со своим установщиком. Как и ожидалось, Google обнаружил вирус в установщике Epic.
Вирус
К сожалению, данный эксплойт позволяет злоумышленникам захватывать процесс загрузки Fortnite. Он перенаправляет загрузку с серверов Epic на сторонние для установки совершенно других приложений. Так называемый «Man-in-the-Disk» (MitD). Google не обязаны искать эксплойты в установщике Epic и, очевидно, не ищут.
Google обнаружил эту уязвимость 15 августа в 7 утра по тихоокеанскому времени и незамедлительно уведомил Epic Games. В течение 7 минут Epic признали вирус. На следующий день, 16 августа в 4:12 вечера PT, Epic заявили, что они установили исправление для игроков.
Разглашение
Через 2 часа после выхода патча, Epic попросили Google скрыть детали вредоносного кода. Запрос должен был длиться 90 дней, чтобы все игроки успели переустановить Фортнайт.
Однако, Google опубликовал детали уязвимости всего через 7 дней после того, как патч был предоставлен для игроков.
«Этот вирус подлежит 90-дневному сроку неразглашения. По прошествии 90 дней или после того, как патч будет широко доступен, отчет об ошибках, включая любые комментарии и вложения, станет видимым для общественности».
Ответ Epic
Как и ожидалось, Epic Games не обрадовались этому решению. Тим Суини, генеральный директор Epic Games и основатель Unreal Engine, предоставил Mashable следующее заявление:
«Epic искренне оценили усилия Google по проведению тщательного аудита безопасности Fortnite сразу после выпуска на Android и благодарны Google за то, что они поделились результатами.
Тем не менее, со стороны Google было безответственно так быстро раскрывать технические детали этого недостатка, в то время как многие приложения еще не успели обновиться и были уязвимы.
Инженер по безопасности Epic, по нашим данным, запросил у Google публичное раскрытие подробностей в течение будущих 90 дней, чтобы предоставить больше времени для обновления. Google отказался.
Усилия по анализу безопасности Google ценятся и приносят пользу платформе Android, однако компания должна практиковать более ответственное время разглашения информации.».
В конечном счете, ни Google, ни Epic Games не находятся в правильном положении в этой ситуации. Google прав, говоря, что избегая Google Play Store Fortnite ставит игроков под угрозу. С другой стороны, Epic попросил Google подождать 90 дней до раскрытия подробностей эксплойта, но Google проигнорировал этот запрос, указав следующее в Mashable:
«Безопасность пользователей – наш главный приоритет, и в рамках нашего активного мониторинга вредоносного ПО мы обнаружили уязвимость в установщике Fortnite. Мы сразу же уведомили Epic Games, и они исправили проблему».
Напомним, что ранее Epic отказались от размещения Fortnite на Google Play Store, из-за чего Google потеряли по меньшей мере 50 000 000 долларов. А как вы думаете? Должен ли Google считаться с просьбой Epic, несмотря на потерю такой колоссальной цифры?
Что вы думаете?
