Google и Epic оба виноваты в фиаско безопасности Fortnite

Android-версия Fortnite стала полем битвы между Google и Epic Games, издателем игры, и обе стороны обвиняют другую в компрометации безопасности пользователей.

К сожалению, обе компании правы. Но в то время как они ссорятся из-за своего сокращения миллионов долларов, получаемых от Epic, геймеры платят цену.

Google вправе критиковать Epic

Решение Epic распространять Android-версию Fortnite через собственный веб-сайт вместо Google Play вызывало недовольство Google и на то были веские причины.

Google получает 30-процентный доход от каждого приложения, опубликованного в Google Play, и Epic Games не хотела передавать то, что, вероятно, было бы здоровой частью изменений в Google. Игра принесла 1 миллиард долларов дохода в течение первого года; на iOS Fortnite заработал 200 миллионов долларов за первые пять месяцев.

В июле Epic также сократила свою долю выручки с Unreal Engine Marketplace с 30 до 12 процентов, и генеральный директор Тим Суини объяснил это отчасти успехом Fortnite. Это произошло за несколько недель до того, как Epic опубликовала Android-версию Fortnite, возможно, чтобы оправдать собственное решение об отказе от платы в Google Play.

Многим разработчикам не нравится эта плата, но только компания, обладающая репутацией и репутацией Epic, может отказаться от того, что предоставляет Google Play. (Apple взимает аналогичную плату в своем App Store, но iOS не предоставляет возможности для боковой загрузки приложений за пределы App Store.)

Самораспространяющийся Fortnite для Android также предоставляет Epic доступ пользователям в таких регионах, как Китай, где Google Play недоступен, без необходимости развертывания отдельных методов распространения. Но оправдывает ли дополнительный доход небезопасную практику публикации игры вне Google Play?

Google Play не лишен недостатков безопасности, но это самое безопасное место для публикации приложений для Android. Можно утверждать, что, как авторитетный и профессиональный издатель, Epic будет придерживаться правил безопасного кодирования и, конечно же, никогда не намеренно вводит вредоносный код в свои приложения. Но всегда необходимо иметь вторую, третью и, возможно, четвертую пару профессиональных глаз для проверки и аудита вашего кода и приложения на наличие недостатков безопасности, как позже продемонстрировала Google, обнаружив уязвимость в установщике Android Fortnite.

Что на самом деле делает решение Epic опасным, так это тот факт, что пользователям необходимо изменить настройки безопасности по умолчанию на своих телефонах, чтобы разрешить установку приложений из источников, отличных от Google Play. Это открывает ящик проблем безопасности Pandora и делает пользователей уязвимыми для многих типов кибератаки , Например, хорошо спланированная фишинговая схема может заманить пользователей на поддельный веб-сайт, который устанавливает вредоносную версию приложения из источника, отличного от серверов Epic Games.

Таким образом, решение Epic подвергать пользователей угрозам безопасности ради восстановления скудной части своего дохода можно назвать только эгоистичным.

Эпос правильно критиковать Google

Так как Epic не публиковал Fortnite в Google Play, Google не был обязан просматривать его. Но компания приложила все усилия, чтобы тщательно изучить приложение, и, возможно, к радости Google, она обнаружила серьезную уязвимость человека в диске в приложении-установщике Fortnite.

Это означает, что когда на телефоне пользователя уже установлено вредоносное приложение, он может перехватить процесс установки Fortnite, чтобы установить версию игры, инфицированную вредоносным ПО, вместо подлинной.

Усилия Google похвально, так как десятки миллионов пользователей будут играть в мобильную игру в ближайшие месяцы. И Epic выкатили обновление в течение 48 часов после получения уведомления об ошибке.

Но несмотря на просьбу Epic, что Google Подождите За 90 дней до раскрытия ошибки Google опубликовал ветку Issue Tracker через семь дней после того, как Epic исправила ошибку. «Безопасность пользователей является нашим главным приоритетом, и в рамках проактивного мониторинга вредоносных программ мы выявили уязвимость в установщике Fortnite», - сказал Google в ответ.

Но тот факт, что он обнаружил уязвимость так рано, ставит под сомнение этот «приоритет». Обнародовав тему, инженер Google сказал, что решение сообразуйтесь своей политике раскрытия уязвимостей, которая гласит: «Мы незамедлительно уведомляем поставщиков об уязвимостях, а сведения об этом публично сообщаются защитному сообществу через 90 дней или раньше, если поставщик выпустит исправление».

Генеральный директор Epic Тим Суини назвал это безответственным шагом и обвинил Google в том, что он подвергает опасности пользователей «в ходе своих усилий по борьбе с пиаром против распространения Epic Fortnite за пределами Google Play».

• Руководство для начинающих по Fortnite: 12 советов для вашего первого матча Руководство для начинающих по Fortnite: 12 советов для вашего первого матча
• Fortnite на Android: руки с Samsung Galaxy S9 + Fortnite на Android: руки с Samsung Galaxy S9 +
• Как разблокировать эксклюзивную оболочку галактики Fortnite Как разблокировать эксклюзивную оболочку галактики Fortnite

Суини прав. У Google было много причин проявить больше гибкости и сдержанности при публикации ошибки, если бы она действительно заботилась о безопасности своих пользователей. Давайте не будем забывать, что это приложение распространяется за пределами Google Play, что означает, что процесс его обновления может быть не таким гладким, как в других приложениях, опубликованных в магазине Play. Кроме того, поскольку, возможно, десятки миллионов пользователей уже установили его, ожидая еще несколько недель, чтобы убедиться, что все обновили приложение, не повредило бы.

Google спешит раскрыть намек на ошибку по скрытым мотивам, наиболее очевидным из которых является стремление отомстить Epic Games за обход своего магазина Play. Хотя Google мало что может сделать, чтобы заставить Epic изменить модель дистрибуции Fortnite, его наказание компании посылает сообщение любому разработчику, в котором есть мысли об обходе Google Play, где пользователи тратят примерно 20, 1 миллиарда долларов в год.

Как Google, так и Epic Games переполнены деньгами, но в их перетягивании каната, чтобы извлечь больше прибыли из своего программного обеспечения и платформы, они наносят ущерб пользователям, которым, по их утверждению, они служат.