趋势网(微博｜微信｜熊掌号)：

谷歌在Epic Games以惊人的速度卷土重来，本月早些时候，该公司决定通过自己的网站，而不是谷歌的Play Store，向Android推出人气惊人的Fortnite。不幸的是，安装程序有一个非常危险的安全缺陷，允许恶意的参与者安装任何他们想要的软件。谷歌浪费了零时间指出这个惊人的错误。

南京市民称骑无牌自行车被罚50元  河北一学校被曝学生就读4年无学籍  台湾一警官长期性侵亲生女儿  

为了简短地解释为什么会发生这种情况，Epic在宣布其计划时解释说，最好的公司“在Android上的软件资源之间展开竞争”，最好的公司将“基于价值获得成功”。当然，每个人都明白，他的意思是，Epic不想与谷歌分享它的现金牛带来的收入。谷歌占应用内购买的30%。

许多人警告说，这是一种安全风险，原因有几个，例如，用户必须从未知来源启动应用程序安装——大多数用户没有理由这么做。此外，Play Store还有其他一些对用户有用的保护和功能，无论是可见的还是其他的。

可以理解，谷歌对Epic的游戏并不感兴趣，它无疑参与了审查下载和安装过程的决定——尽管我相信它的用户的安全也是一个激励因素。你难道不知道吗，他们马上就发现了一个庞然大物。

Fortnite下载器上线一周后，一个名为Edward的谷歌工程师在帖子中解释说，安装程序基本上允许攻击者使用它安装任何东西。

Fortnite安装程序基本上是下载一个APK (Android应用程序包)，在本地存储，然后启动。但由于它存储在共享的外部存储中，一个坏人可以在一个新文件中交换，让它启动，这就是所谓的“磁盘人”攻击。

因为安装程序只检查APK的名称是否正确，只要攻击者的文件名为“com.epicgames”。福特纳特:“会安装的!”由于未知源的安装策略是如何工作的，因此，如果需要的话，它还具有很多额外的权限。不是很好!

Edward指出，这是很容易修复的，并且可以通过一个非常低调的渲染来帮助修复，链接到Android开发者网站上的一个页面，上面列出了Epic应该使用的基本功能。

值得称赞的是，Epic的工程师们立即着手解决了这个问题，并在当天下午就找到了解决方案，并在下一次部署前进行了部署。Epic InfoSec随后要求谷歌在发布信息前等待90天。

正如你所看到的，谷歌并不慷慨。一个星期后(就是今天)，这个漏洞已经在谷歌问题跟踪网站上公布了。真的，这是荣耀的反面。这似乎是谷歌警告任何想玩商店的叛变者，他们不会被温和对待的方式。

Epic Games的首席执行官蒂姆•斯威尼(Tim Sweeney)也同样感到不快。在向Android Central提供的评论中——顺便说一下，Android Central预测到了这种事情会发生——他指责了该公司“不负责任”的“危害用户”的决定。

Epic真诚地感谢谷歌在我们发布Android后立即对Fortnite进行了深入的安全审计，并将结果与Epic共享，以便我们能够迅速发布更新，以修复他们发现的漏洞。

然而，谷歌如此迅速地公开缺陷的技术细节是不负责任的，而许多安装还没有更新，而且仍然很脆弱。

在我的敦促下，一位Epic安全工程师要求谷歌将公开信息延迟90天，以便有时间让更新更广泛地安装。谷歌拒绝了。你可以在//issuetracker.google.com/issues/112630336上阅读

谷歌在安全分析方面的努力得到了认可，并为Android平台带来了好处。然而，像谷歌这样强大的公司应该采取比这更负责任的披露时机，并且在其针对Epic在谷歌Play之外发行Fortnite的反公关行动中，不应危及用户。

实际上，公司确实应该尽量避免出于自私的原因危及用户。