Gadgetshowto
Google ha revelado que descubrió una vulnerabilidad grave en el primer instalador de Epic de Quincena para Android, lo que podría permitir que cualquier aplicación con el permiso WRITE_EXTERNAL_STORAGE sustituya el APK inmediatamente después de que se complete la descarga y se verifique la huella digital..
Según una publicación de issutracker de un Googler, la falla permitió a los ciberdelincuentes 'fácilmente' llevar a cabo un ataque utilizando un FileObserver, tras lo cual, el instalador de Fortnite procederá a instalar el APK sustituido (falso).
Como se puede ver en el hilo, Google aparentemente notificó a Epic sobre su descubrimiento el 15 de agosto, luego de lo cual, Epic tuvo 90 días para reparar las fallas, de acuerdo con las prácticas estándar de la industria. Resulta que la vulnerabilidad se reparó en solo un par de días, y el representante de la compañía anunció el despliegue del parche el día 17..
Según Epic InfoSec, el parche cambiará el directorio de almacenamiento de APK predeterminado de almacenamiento externo a interno, lo que ayudará a prevenir ataques Man-in-the-Disk (MITD) durante el flujo de instalación..
Lo interesante es que Epic aún solicitó a Google que no revele la falla durante el período completo de 90 días, para que sus usuarios tengan tiempo de parchear sus instaladores. Sin embargo, Google no se unió al plazo y terminó abriendo el hilo al público solo siete días después de que se implementó el parche, de acuerdo con las prácticas de divulgación estándar de la compañía..
El CEO de Epic Games, Tim Sweeney, expresó su descontento por la divulgación temprana de Google, calificándola de 'irresponsable' decisión que puede poner en peligro a usuarios inocentes. En un comunicado a Android Central, dijo, “Fue irresponsable por parte de Google revelar públicamente los detalles técnicos de la falla tan rápidamente, mientras que muchas instalaciones aún no se habían actualizado y seguían siendo vulnerables”.
“Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android, sin embargo, una empresa tan poderosa como Google debería practicar un tiempo de divulgación más responsable que este, y no poner en peligro a los usuarios en el curso de sus esfuerzos de contrarrepúblicas contra la distribución de Epic de Fortnite fuera de Google. Tocar"
Para comprender por qué Epic y Google están tan insatisfechos entre sí en este momento, es necesario conocer la historia de fondo reciente que rodea el lanzamiento de Fortnite en Android. Incluso cuando el juego finalmente se lanzó en Android mucho después de hacer su debut en iOS, Epic y Tencent decidieron distribuir el juego a través de su propia plataforma, en lugar de a través de Google Play Store..
Fue en gran parte una decisión comercial para los editores del juego, que no querían compartir los ingresos del juego con Google, que se lleva el 30 por ciento de todas las compras realizadas a través de Play Store. No hace falta decirlo, al gigante de la tecnología no le hizo gracia la decisión, dado que aparentemente podría perder 50 millones de dólares solo este año debido a la situación.
