Nul
De CEO van het bedrijf verantwoordelijk voor de ontwikkeling van de populaire Fortnite het ontspruiten spel en Google zijn verwikkeld raken in een publiek meningsverschil over de kwetsbaarheid van openbaarmaking van het beleid.
“Google zou hebben verstrekt, het feit dat er een beveiligingsprobleem was ontdekt, zonder dat voldoende technische details die hackers kunnen gemakkelijk benutten,” zegt Tim Sweeney, de chief executive van Epic Games, de ontwikkelaar van Fortnite.
Sweeney onder verwijzing naar de openbaarmaking van een ernstig beveiligingslek in de Fortnite installer. De game-ontwikkelaar koos ervoor om weg te blijven uit Google Play, en in plaats daarvan begonnen met een eigen Android app installer voor de shooting spel is gedownload uit de Epische domein.
Ondanks het niet beschikbaar zijn via Google Play, zoals Fortnite wordt geleverd in een Android versie en heeft bewezen populair genoeg om te worden gedownload van wat wordt verondersteld te worden miljoenen keren, Google bug jagers stonden te kijken.
In de issue tracker post eerder deze maand, Google onderzoekers bleek dat de Fortnite APK installer kan worden gebruikt om aanvallers te kapen de app via een Man-in-The-Schijf (MiTD) aanval.
Deze techniek toegepast kan worden naar apps die aansluiten op externe opslag in plaats van interne opslag systemen, die zijn beter beschermd zijn via de Android sandbox beperkingen.
In het geval van Fortnite, de APK kan vervangen worden door een kwaadaardige software pakket onmiddellijk nadat het downloaden is voltooid en de vingerafdruk gecontroleerd, volgens Google.
Tot overmaat van ramp, de APK kan worden geïnstalleerd met alle machtigingen voor het aanvragen op het moment van de installatie, zonder het verhogen van elke gebruiker vermoeden.
Download.com: Fortnite is dodelijk Android kwetsbaarheid: Hoe bescherm uw apparaat
“Dit is eenvoudig te doen met behulp van een FileObserver” het team toegevoegd. “De Fortnite Installer zal verder gaan met het installeren van de vervangen (nep) APK.”
De bug werd onderworpen aan een 90-dagen openbaarmaking termijn op het moment dat de event tracker aankondiging was gepubliceerd.
Epische erkend dat de lek, in een commentaar:
“We waren in staat om de bug te reproduceren u voorgelegd en hebben een team dat werkt rond de klok om het op te lossen. We zijn momenteel aan het testen een oplossing die het probleem oplost op nieuwere Android-apparaten en updates als onze ontwikkeling in het werk blijft.
We zullen het implementeren van deze update zodra deze beschikbaar is, en hebben een ruw tijdlijn van later deze week, mogelijk al morgen. Nogmaals bedankt voor het brengen van dit onder onze aandacht.”
Echter, al snel bleek zuur.
Epische verzocht de volledige 90 dagen voor de openbaarmaking van informatie. Echter, als een patch was klaargemaakt worden binnen 48 uur en was beschikbaar voor zeven dagen van 24 augustus, Google weigerde het verzoek.
“Nu de gepatchte versie van Fortnite Installer is beschikbaar voor zeven dagen zullen we overgaan tot unrestrict dit probleem in lijn met de Google standaard openbaar maken,’ een Google-ontwikkelaar gezegd.
Sweeney is niet blij met de openbaarmaking en gebrandmerkt Google de bekendmaking van het lek als “onverantwoordelijk.”
“Epic echt gewaardeerd Google’ s poging om het uitvoeren van een diepgaande security audit van Fortnite onmiddellijk na de release op Android, en delen de resultaten met Epische dus konden we snel een update te herstellen van de fout ontdekten ze,” zei de producent. “Echter, het was onverantwoordelijk van Google om in het openbaar bekendmaken van de technische details van de fout zo snel, terwijl veel installaties die nog niet zijn bijgewerkt en waren nog steeds kwetsbaar.”
Terwijl de ernstige kwetsbaarheid is inmiddels opgelost in de Fortnite installer, de raad impliciet op Twitter dat het moment was het noodzakelijk om meer gebruikers een kans om de update ontvangen.
CNET: Met nieuwe iPad-ondersteuning, Google Duo neemt nog steken op FaceTime
“Een bedrijf zo krachtig als Google de praktijk een meer verantwoorde openbaarmaking timing dan deze, en geen gevaar opleveren voor de gebruikers in de loop van de teller-PR-inspanningen tegen Epische de verdeling van Fortnite buiten Google Play,” Sweeney toegevoegd, in verwijzing naar de beslissing gemaakt door de ontwikkelaar van de game te blijven van de Google Play bij de lancering van de Android-versie van Fortnite.
Zie ook: Kritiek tot uitvoering van externe code fout in Apache Struts, legt de onderneming te vallen
De raad toegevoegd dat de verhuizing was een manier om te ‘ scoren goedkope PR punten.”
Dat besluit is, gezien de populariteit van Fortnite, heeft gesneden Google-out van ongekende omzet op basis van commissie. Het is echter ook buitenspel gezet de beveiliging en update van het systeem de winkel biedt aan gebruikers.
In het algemeen, het installeren van mobiele apps buiten de officiële winkels is niet aanbevolen vanwege een aantal van de veiligheid, zoals de onbedoelde installatie van kwaadaardige apps, vermomd als de real thing, een Man-in-The-Middle (MiTM) aanvallen, en meer.
Volgens Sweeney, Google particulier vertelde Epos dat het bedrijf werd de monitoring van Fortnite installaties op alle Android-apparaten, en is van mening dat er weinig niet-gepatchte installeert overgebleven.
Als zodanig, de openbaarmaking waarschijnlijk niet zou plaats waar de meeste gebruikers in gevaar.
Echter, Sweeney heeft betoogd dat 90 dagen zou zijn geweest meer verantwoordelijk dan zeven, als de installer werkt alleen wanneer de app wordt geopend:
Eerder dit jaar werd Microsoft links klauteren om fix een bug na de Google Project Zero team bekendgemaakt een ernstige kwetsbaarheid na Microsoft niet te voldoen aan de 90-dagen termijn. In het geval van Fortnite, echter, de openbaarmaking kan worden aangevoerd als redelijk.
Het kan zijn dat Google druk in de technische details van het lek snel meer dan nodig is, omdat de Epic ‘ s afkeer van de Play Store.
De ontwikkelaar van de game, was echter nog steeds onderworpen aan dezelfde regels van openbaarmaking dat iedereen anders is-met inbegrip van andere tech-giganten als Microsoft wanneer kwetsbaarheden zijn de potentiële gevolgen van miljoenen gebruikers over de hele wereld.
TechRepublic: Zes tips voor het beheren van uw Google Agenda efficiënter
Epic heeft gebruikt gamer belangen in een poging om het stimuleren van de algemene veiligheid, ondanks de openbaarmaking argument plaatsvindt. Het bedrijf heeft onlangs uitgevoerd met behulp van een ongebruikelijke tactiek door het aanbieden van in-game beloningen voor degenen die het inschakelen van twee-factor authenticatie (2FA) op hun rekeningen.
Er is een ander element van dit verhaal waard. Om het verwerken van 92 miljoen evenementen per minuut en voorzien gegevens groeien van ongeveer twee petabytes per maand, Epische maakt gebruik van Amazon Web Services (AWS), eerder dan concurrerende platforms, zoals Google Cloud.
Volgens AWS CTO Werner Vogels, de AWS-architectuur is de juiste keuze als vanaf dag één, in het bijzonder in het geval van game-ontwikkelaars — verkeer en groei kan optreden bij zware uitbarstingen, in plaats van een gestage stijging.
Het is interessant om te zien Epische zich zo duidelijk van Google-eigendom diensten ter ondersteuning van de groeiende Fortnite netwerk en we zullen moeten zien of andere game-ontwikkelaars volgen in de toekomst.
Vorige en aanverwante dekking
Hoe hackers slaagde erin om te stelen van $13,5 miljoen in Cosmos bank heist Spyware bedrijf SpyFone bladeren gegevens van de klant, opnamen blootgesteld online Facebook is Onavo VPN-app verwijderd uit de App Store van Apple over privacy
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0