谷歌在Epic Games以惊人的速度卷土重来,本月早些时候,该公司决定通过自己的网站,而不是谷歌的Play Store,向Android推出人气惊人的Fortnite。不幸的是,安装程序有一个非常危险的安全缺陷,允许恶意的参与者安装任何他们想要的软件。谷歌浪费了零时间指出这个惊人的错误。
南京市民称骑无牌自行车被罚50元 河北一学校被曝学生就读4年无学籍 台湾一警官长期性侵亲生女儿
为了简短地解释为什么会发生这种情况,Epic在宣布其计划时解释说,最好的公司“在Android上的软件资源之间展开竞争”,最好的公司将“基于价值获得成功”。当然,每个人都明白,他的意思是,Epic不想与谷歌分享它的现金牛带来的收入。谷歌占应用内购买的30%。
许多人警告说,这是一种安全风险,原因有几个,例如,用户必须从未知来源启动应用程序安装——大多数用户没有理由这么做。此外,Play Store还有其他一些对用户有用的保护和功能,无论是可见的还是其他的。
可以理解,谷歌对Epic的游戏并不感兴趣,它无疑参与了审查下载和安装过程的决定——尽管我相信它的用户的安全也是一个激励因素。你难道不知道吗,他们马上就发现了一个庞然大物。
Fortnite下载器上线一周后,一个名为Edward的谷歌工程师在帖子中解释说,安装程序基本上允许攻击者使用它安装任何东西。
Fortnite安装程序基本上是下载一个APK (Android应用程序包),在本地存储,然后启动。但由于它存储在共享的外部存储中,一个坏人可以在一个新文件中交换,让它启动,这就是所谓的“磁盘人”攻击。
因为安装程序只检查APK的名称是否正确,只要攻击者的文件名为“com.epicgames”。福特纳特:“会安装的!”由于未知源的安装策略是如何工作的,因此,如果需要的话,它还具有很多额外的权限。不是很好!
Edward指出,这是很容易修复的,并且可以通过一个非常低调的渲染来帮助修复,链接到Android开发者网站上的一个页面,上面列出了Epic应该使用的基本功能。
值得称赞的是,Epic的工程师们立即着手解决了这个问题,并在当天下午就找到了解决方案,并在下一次部署前进行了部署。Epic InfoSec随后要求谷歌在发布信息前等待90天。
正如你所看到的,谷歌并不慷慨。一个星期后(就是今天),这个漏洞已经在谷歌问题跟踪网站上公布了。真的,这是荣耀的反面。这似乎是谷歌警告任何想玩商店的叛变者,他们不会被温和对待的方式。
Epic Games的首席执行官蒂姆•斯威尼(Tim Sweeney)也同样感到不快。在向Android Central提供的评论中——顺便说一下,Android Central预测到了这种事情会发生——他指责了该公司“不负责任”的“危害用户”的决定。
Epic真诚地感谢谷歌在我们发布Android后立即对Fortnite进行了深入的安全审计,并将结果与Epic共享,以便我们能够迅速发布更新,以修复他们发现的漏洞。
然而,谷歌如此迅速地公开缺陷的技术细节是不负责任的,而许多安装还没有更新,而且仍然很脆弱。
在我的敦促下,一位Epic安全工程师要求谷歌将公开信息延迟90天,以便有时间让更新更广泛地安装。谷歌拒绝了。你可以在//issuetracker.google.com/issues/112630336上阅读
谷歌在安全分析方面的努力得到了认可,并为Android平台带来了好处。然而,像谷歌这样强大的公司应该采取比这更负责任的披露时机,并且在其针对Epic在谷歌Play之外发行Fortnite的反公关行动中,不应危及用户。
实际上,公司确实应该尽量避免出于自私的原因危及用户。