Gadgetshowto
Google a révélé avoir découvert une vulnérabilité sérieuse dans le premier programme d'installation d'Epic Fortnight pour Android, permettant potentiellement à toute application disposant de l'autorisation WRITE_EXTERNAL_STORAGE de remplacer l'APK immédiatement après la fin du téléchargement et la vérification de l'empreinte digitale..
Selon un message publié par un googleur sur Issutracker, la faille a permis aux cybercriminels de 'facilement' effectuer une attaque à l'aide d'un FileObserver, après quoi, le programme d'installation de Fortnite procédera à l'installation du (faux) APK de remplacement.
Comme le montre le fil de discussion, Google a apparemment informé Epic de sa découverte le 15 août, après quoi Epic avait 90 jours pour corriger les failles, conformément aux pratiques standard de l'industrie. Il s'avère que la vulnérabilité a été corrigée en quelques jours seulement, le représentant de la société annonçant le déploiement du correctif le 17.
Selon Epic InfoSec, le correctif changera le répertoire de stockage APK par défaut du stockage externe au stockage interne, aidant ainsi à prévenir les attaques Man-in-the-Disk (MITD) pendant le flux d'installation..
Ce qui est intéressant, c'est qu'Epic a toujours demandé à Google de ne pas divulguer la faille pendant toute la période de 90 jours, afin que ses utilisateurs aient le temps de patcher leurs installateurs. Cependant, Google n'a pas adhéré au calendrier et a fini par ouvrir le fil au public sept jours seulement après le déploiement du correctif, conformément aux pratiques de divulgation standard de l'entreprise..
Le PDG d'Epic Games, Tim Sweeney, a exprimé son mécontentement face à la divulgation précoce de Google, l'appelant 'irresponsable' décision qui peut mettre en danger des utilisateurs innocents. Dans une déclaration à Android Central, il a déclaré, "Il était irresponsable de la part de Google de divulguer publiquement les détails techniques de la faille si rapidement, alors que de nombreuses installations n'avaient pas encore été mises à jour et étaient toujours vulnérables".
«Les efforts d'analyse de sécurité de Google sont appréciés et profitent à la plate-forme Android, mais une entreprise aussi puissante que Google devrait pratiquer un calendrier de divulgation plus responsable que celui-ci, et ne pas mettre en danger les utilisateurs dans le cadre de ses efforts de contre-RP contre la distribution d'Epic de Fortnite en dehors de Google Jouer"
Pour comprendre pourquoi Epic et Google sont si mécontents l'un de l'autre en ce moment, il faut connaître la récente histoire entourant le lancement de Fortnite sur Android. Alors même que le jeu a finalement été lancé sur Android longtemps après avoir fait ses débuts sur iOS, Epic et Tencent ont décidé de distribuer le jeu via leur propre plate-forme, plutôt que via le Google Play Store..
C'était en grande partie une décision commerciale pour les éditeurs du jeu, qui ne voulaient pas partager les revenus du jeu avec Google, qui prend 30% de tous les achats effectués via le Play Store. Il va sans dire que le géant de la technologie n'a pas été amusé par la décision, étant donné qu'il risque apparemment de perdre 50 millions de dollars cette année seulement à cause de la situation.
