Google подвергает опасности Android-смартфоны из-за конфликта вокруг игры Fortnite
Им не нравится, что игра распространяется не через Google Play.
Компания Epic Games отказалась от распространения своего хита Fortnite на Android через магазин приложений Google Play. Установка происходит через специальный «инсталлер», который нужно скачать с сайта разработки игры. Причина вполне понятна: Epic Games не нравится, что Apple отбирает у них 30 % от всех доходов с Fortnite, так и ещё и Гуглу придётся башлять столько же.
Журналисты 9to5Google, узнав об этом, предупредили, что это не самый безопасный метод распространения игры, и им могут воспользоваться злоумышленники.
Но Google нежелание делиться не понравилось. Понятно, что что-либо изменить в этой ситуации трудно, но компании удалось найти выход.
«Заботливое» решение
Спецы по безопасности Google начали активно изучать установщик. И оказалось, что ресурс 9to5Google прямо-таки попал пальцем в небо! Первый установочный пакет действительно имеет серьёзную уязвимость безопасности. Она позволяет любому приложению на смартфоне включать фоновую загрузку. На девайс могут быть установлены приложения с полным доступом. И пользователи об этом не узнают.
Оценив масштаб проблемы, Google 15 августа уведомила Epic Games о ней. Разработчики оперативно решили её — обновление вышло уже 16 августа. Epic Games попросила Google отложить обнародование об уязвимости на 90 дней, чтобы все пользователи точно смогли обновиться. Но нет.
Google поступила безответственно, публично раскрыв технические детали этой уязвимости, хотя многие пользователи ещё не обновились и могут пострадать.
Генеральный директор Epic Games
Правило «девяноста дней» прописано в положении безопасности приложений. Именно такой срок даётся на решение стандартных проблем. Девяносто дней нужно для того, чтобы злоумышленники не воспользовались сведениями об уязвимости на тех устройствах, где она ещё не была решена.
При этом компания может на своё усмотрение сократить этот срок до недели:
Когда мы наблюдаем ранее неизвестную и непропатченную уязвимость в активной эксплуатации ПО (0day — т. н. «уязвимости нулевого дня» — уязвимости, против которых нет разработанных механизмов защиты), мы считаем уместными более срочные действия — в течение 7 дней.
Однако эти положения почему-то не помешали отложить обнародование о Meltdown и Spectre с июня 2017, когда об уязвимостях предупредили производителей процессоров, до января 2018 года. А ведь это тоже был «0day». И их обнаружили специалисты Грацского технического университета и Google Project Zero.
Вот такая вот «Корпорация добра»: когда с ней не делятся деньгами, она перестаёт думать о своих пользователях. А ведь через установщик Fortnite могут установить приложение, снимающее деньги с привязанной к Google Pay карты. Или ещё чего хуже.
Хотя, чего это я. Google же убрала из своего кодекса упоминание «Корпорации добра».