Zero
L’amministratore delegato della ditta responsabile per lo sviluppo del famoso Fortnite ripresa del gioco e Google hanno diventare coinvolto in una pubblica discussione sulla divulgazione delle vulnerabilità politiche.
“Google potrebbe aver svelato il fatto che è stata scoperta una vulnerabilità senza fornire sufficienti dettagli tecnici che gli hacker possono facilmente sfruttare”, dice Tim Sweeney, l’amministratore delegato di Epic Games, sviluppatore di Fortnite.
Sweeney è stato riferimento per la divulgazione di una grave vulnerabilità di sicurezza in Fortnite programma di installazione. Lo sviluppatore del gioco ha scelto di stare lontano da Google Play, e che, invece, ha lanciato il suo Android app installer per la ripresa del gioco che viene scaricato direttamente dall’Epopea di dominio.
Pur non essendo disponibile tramite Google Play, come Fortnite, è disponibile in una versione di Android e ha dimostrato abbastanza popolare per essere scaricato quello che si crede di essere milioni di volte, Google cacciatori di bug sono stati a guardare.
In un issue tracker post all’inizio di questo mese, Google ricercatori hanno rivelato che il Fortnite installer APK che potrebbe essere sfruttata per consentire agli aggressori di dirottare l’applicazione attraverso un Man-in-The-Disco (MiTD) attacco.
Questa tecnica può essere applicata per le applicazioni che si collegano alla memorizzazione esterni piuttosto che interni sistemi di storage, che sono meglio protetti tramite Android sandbox restrizioni.
In caso di Fortnite, l’APK potrebbe essere sostituito con un software dannoso pacchetto immediatamente dopo aver completato il download e l’impronta verificato, secondo Google.
A peggiorare le cose, l’APK può essere installato con tutte le autorizzazioni richieste al momento dell’installazione, senza alzare ogni utente sospetto.
TechRepublic: Sei consigli per gestire il tuo Calendario di Google in modo più efficiente
“Questo è fatto facilmente utilizzando un FileObserver,” il team ha aggiunto. “Il Fortnite programma di installazione procederà all’installazione del sostituito (falso) APK.”
Il bug è stato sottoposto a 90 giorni del termine al momento dell’evento tracker avviso è stato pubblicato.
Epic ha riconosciuto la falla di sicurezza, commentando:
“Siamo stati in grado di riprodurre il bug che hai inviato e avere una squadra che lavora tutto il giorno per risolvere il problema. Stiamo attualmente testando un fix che risolve il problema sui più recenti dispositivi Android e fornirà aggiornamenti come il nostro lavoro di sviluppo continua.
Ci sarà la distribuzione di questo aggiornamento non appena diventa disponibile, e hanno una vaga linea temporale di questa settimana, forse già domani. Grazie ancora per aver portato alla nostra attenzione”.
Tuttavia, le cose si trasforma ben presto acida.
Epic richiesti i 90 giorni prima della comunicazione al pubblico. Tuttavia, come una patch è stata predisposta entro 48 ore e per sette giorni a partire dal 24 agosto, Google rifiutato la richiesta.
“Ora la versione patchata di Fortnite programma di installazione è disponibile per sette giorni si procederà ad annullare tali vincoli di questo problema, in linea con Google standard pratiche di divulgazione,” Google developer detto.
Sweeney non è felice con la divulgazione e ha bollato Google divulgazione della falla di sicurezza come “irresponsabile”.
“Epic veramente apprezzato Google sforzo per eseguire un approfondito controllo della sicurezza di Fortnite immediatamente dopo il rilascio su Android, e condividere i risultati con la Epic, quindi abbiamo potuto rapidamente il rilascio di un aggiornamento per correggere il difetto, hanno scoperto,” il dirigente ha detto. “Tuttavia, è stato irresponsabile da parte di Google di rivelare pubblicamente i dettagli tecnici del difetto così in fretta, mentre molti impianti non erano ancora stati aggiornati e sono ancora vulnerabili”.
Mentre la grave vulnerabilità è stato risolto nel Fortnite installer, l’esecutivo implicita su Twitter che la richiesta era necessario per dare di più agli utenti la possibilità di ricevere l’aggiornamento.
CNET: Con il nuovo iPad, Google Duo prende un’altra pugnalata a FaceTime
“Una società come potente come Google dovrebbe più pratica divulgazione responsabile tempistica di questo, e non mettere in pericolo gli utenti nel corso della sua contro-PR sforzi contro Epic distribuzione di Fortnite al di fuori di Google Play,” Sweeney aggiunto, in riferimento alla decisione presa dal gioco sviluppatore di rimanere al di fuori del Google Play quando il lancio della versione per Android di Fortnite.
Vedi anche: Critica esecuzione remota di codice difetto in Apache Struts espone l’impresa di attacco
L’esecutivo ha aggiunto che la mossa era un modo per “punteggio basso PR punti.”
Tale decisione, considerando la popolarità di Fortnite, ha tagliato Google di untold entrate basate su commissione. Tuttavia, ha anche accantonato le protezioni di sicurezza e sistema di aggiornamento il negozio offre agli utenti.
In generale, l’installazione di applicazioni mobile al di fuori di negozi ufficiali non è raccomandato a causa di una serie di problemi di sicurezza, come ad esempio l’installazione accidentale di applicazioni malevole che si presenta come la cosa reale, Man-in-The-Middle (MiTM), gli attacchi, e di più.
Secondo Sweeney, Google privatamente detto Epica che la società è stata monitoraggio Fortnite installazioni su tutti i dispositivi Android, e crede che ci sono poche patch installa rimanenti.
Come tale, la comunicazione sarebbe improbabile luogo la maggior parte degli utenti a rischio.
Tuttavia, Sweeney ha sostenuto che i 90 giorni sarebbe stato più responsabile di sette, come il programma di installazione aggiorna solo quando l’app è aperta:

All’inizio di quest’anno, Microsoft è stato lasciato rimescolando per correggere un bug dopo il Google Project Zero team ha rivelato una grave vulnerabilità dopo che Microsoft non è riuscita a soddisfare il termine di 90 giorni dalla scadenza. In caso di Fortnite, tuttavia, la diffusione può sostenere di essere ragionevole.
Può essere che Google ha fatto spingere i dettagli tecnici della falla di sicurezza più velocemente di quanto richiesto a causa di Epic avversione per il Play Store.
Lo sviluppatore del gioco, tuttavia, è ancora soggetto alle stesse regole di trasparenza che tutti gli altri-compresi gli altri giganti della tecnologia come Microsoft quando le vulnerabilità hanno il potenziale di impatto di milioni di utenti in tutto il mondo.
Epic ha utilizzato gamer interessi, nel tentativo di aumentare la sicurezza generale, nonostante la divulgazione argomento in corso. La società ha recentemente implementato un insolito tattica, offrendo ricompense in-game per chi abilitare l’autenticazione a due fattori (2FA) sui loro conti.
Precedente e relativa copertura
Come gli hacker sono riusciti a rubare $13,5 milioni di euro nel Cosmo rapina in banca Spyware ditta SpyFone foglie di dati del cliente, le registrazioni esposti online Facebook del Onavo VPN app rimossa dall’App Store di Apple su problemi di privacy
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0