Google e Epic Games se estranham em público por falha de segurança em Fortnite para Android

Todo mundo avisou que oferecer a versão de Fortnite: Battle Royale para Android como um instalador externo à Google Play Store era uma péssima ideia. Ainda que a Epic Games afirme que a decisão foi tomada para "fomentar a competição" entre softwares distribuídos dentro e fora da lojinha, mas a verdade é que a desenvolvedora não queria entregar os 30% da receita do game para o Google, como já é obrigada a fazer com a Apple.

A maior parte dos veículos especializados em tecnologia e profissionais de segurança alertaram que essa estratégia era não apenas mesquinha e gananciosa, como também perigosa: nem todo mundo possui familiaridade com o recurso nativo do Android de instalar apps de fontes externas e abrir essa porta era um convite ao desastre, já que exporia dispositivos a ataques. A Epic simplesmente preferiu colocar toda a base instalada do robozinho do Google em risco apenas para fazer mais dinheiro, e claro o Google não gostou nada disso.

A gigante no entanto esperou, e o óbvio aconteceu: uma semana depois de Fortnite: Battle Royale ser liberado para usuários Android, um engenheiro do Google chamado Edward encontrou uma falha grotesca no instalador externo, que permitia a instalação de qualquer coisa. Por design, o software da Epic baixava, armazenava localmente e executava o arquivo .apk para o dispositivo do usuário, se limitando a fazer uma checagem apenas no nome do mesmo para validar o processo.

Assim, um software de terceiros (que precisa estar pré-instalado) poderia através de um método conhecido como "Man-in-the-Disk" injetar um app malicioso com o nome "com.epicgames.fortnite", que o instalador o carregaria sem problemas. O engenheiro apontou que a Epic poderia ter facilmente evitado o problema e apresentou um conjunto de soluções simples, e verdade seja dita, a desenvolvedora corrigiu a falha rapidinho.

Foi nesse momento que o Google exerceu sua vingança: a equipe de Segurança da Informação da Epic solicitou à empresa o período padrão de 90 dias para tornar a falha de conhecimento público, mas ao invés disso ela foi publicada no Issue Tracker, o portal para rastreamento de bugs apenas uma semana depois. Em nota, o Google se defendeu dizendo que "o procedimento normal para a divulgação de bugs é de 90 dias, ou antes se o desenvolvedor corrigi-lo dentro do prazo".

Para bom entendedor, o que o Google fez (com certo grau de razão) foi utilizar o bug de Fortnite como um exemplo do que não pode ser feito pelos desenvolvedores, que é oferecer softwares do lado de fora da Play Store sob risco real de ameaçar todos os usuários da plataforma Android. De fato, foi o modo de jogar na cara da Epic que mesquinharia não é justificativa para comprometer sua plataforma ou seus consumidores.

A Epic obviamente não gostou nem um pouquinho da atitude do Google: em nota enviada ao site Android Central, o CEO Tim Sweeney disse que o Google está se valendo de uma "ação de Relações Públicas", em uma decisão irresponsável com o potencial de "por os usuários em risco". Só que quem está colocando os jogadores em risco (e por dinheiro) oferecendo um app fora da Play Store não é o Google.

E olha que a Epic deu sorte de não ter o site invadido e o app oficial infectado, como aconteceu com o CCleaner no passado.

No fim, a recomendação é a mesma de sempre: tenha a certeza de instalar apps em seu Android de desenvolvedores conhecidos e evite ao máximo instalar apps de fora da Play Store, pois o Google não pode oferecer para estes softwares as ferramentas de segurança disponíveis para as demais aplicações.

Agora, se você absolutamente completamente imperativamente precisa jogar Fortnite: Battle Royale em um dispositivo móvel, eis a melhor dica que posso dar: compre um iPhone.

Com informações: TechCrunch, Android Central.