Meio Bit » Games » Google e Epic Games se estranham em público por falha de segurança em Fortnite para Android

Google e Epic Games se estranham em público por falha de segurança em Fortnite para Android

Google usa falha de segurança "épica" presente em instalador de Fortnite para Android como exemplo de nunca confiar am aplicativos de fora da Play Store; Tim Sweeney, CEO da Epic Games não gostou nem um pouquinho da atitude.

5 anos e meio atrás

Todo mundo avisou que oferecer a versão de Fortnite: Battle Royale para Android como um instalador externo à Google Play Store era uma péssima ideia. Ainda que a Epic Games afirme que a decisão foi tomada para "fomentar a competição" entre softwares distribuídos dentro e fora da lojinha, mas a verdade é que a desenvolvedora não queria entregar os 30% da receita do game para o Google, como já é obrigada a fazer com a Apple.

A maior parte dos veículos especializados em tecnologia e profissionais de segurança alertaram que essa estratégia era não apenas mesquinha e gananciosa, como também perigosa: nem todo mundo possui familiaridade com o recurso nativo do Android de instalar apps de fontes externas e abrir essa porta era um convite ao desastre, já que exporia dispositivos a ataques. A Epic simplesmente preferiu colocar toda a base instalada do robozinho do Google em risco apenas para fazer mais dinheiro, e claro o Google não gostou nada disso.

A gigante no entanto esperou, e o óbvio aconteceu: uma semana depois de Fortnite: Battle Royale ser liberado para usuários Android, um engenheiro do Google chamado Edward encontrou uma falha grotesca no instalador externo, que permitia a instalação de qualquer coisa. Por design, o software da Epic baixava, armazenava localmente e executava o arquivo .apk para o dispositivo do usuário, se limitando a fazer uma checagem apenas no nome do mesmo para validar o processo.

Assim, um software de terceiros (que precisa estar pré-instalado) poderia através de um método conhecido como "Man-in-the-Disk" injetar um app malicioso com o nome "com.epicgames.fortnite", que o instalador o carregaria sem problemas. O engenheiro apontou que a Epic poderia ter facilmente evitado o problema e apresentou um conjunto de soluções simples, e verdade seja dita, a desenvolvedora corrigiu a falha rapidinho.

Foi nesse momento que o Google exerceu sua vingança: a equipe de Segurança da Informação da Epic solicitou à empresa o período padrão de 90 dias para tornar a falha de conhecimento público, mas ao invés disso ela foi publicada no Issue Tracker, o portal para rastreamento de bugs apenas uma semana depois. Em nota, o Google se defendeu dizendo que "o procedimento normal para a divulgação de bugs é de 90 dias, ou antes se o desenvolvedor corrigi-lo dentro do prazo".

Para bom entendedor, o que o Google fez (com certo grau de razão) foi utilizar o bug de Fortnite como um exemplo do que não pode ser feito pelos desenvolvedores, que é oferecer softwares do lado de fora da Play Store sob risco real de ameaçar todos os usuários da plataforma Android. De fato, foi o modo de jogar na cara da Epic que mesquinharia não é justificativa para comprometer sua plataforma ou seus consumidores.

A Epic obviamente não gostou nem um pouquinho da atitude do Google: em nota enviada ao site Android Central, o CEO Tim Sweeney disse que o Google está se valendo de uma "ação de Relações Públicas", em uma decisão irresponsável com o potencial de "por os usuários em risco". Só que quem está colocando os jogadores em risco (e por dinheiro) oferecendo um app fora da Play Store não é o Google.

E olha que a Epic deu sorte de não ter o site invadido e o app oficial infectado, como aconteceu com o CCleaner no passado.

No fim, a recomendação é a mesma de sempre: tenha a certeza de instalar apps em seu Android de desenvolvedores conhecidos e evite ao máximo instalar apps de fora da Play Store, pois o Google não pode oferecer para estes softwares as ferramentas de segurança disponíveis para as demais aplicações.

Agora, se você absolutamente completamente imperativamente precisa jogar Fortnite: Battle Royale em um dispositivo móvel, eis a melhor dica que posso dar: compre um iPhone.

Com informações: TechCrunch, Android Central.

Leia mais sobre: , , , .

relacionados


Comentários