Google ha aplaudido de manera tremenda en Epic Games, que a principios de este mes decidió hacer que el increíblemente popular Fortnite esté disponible para Android a través de su propio sitio web en lugar de la Play Store de Google. Desafortunadamente, el instalador tenía una falla de seguridad fenomenalmente peligrosa que permitiría a un actor malintencionado instalar esencialmente cualquier software que quisiera. Google perdió exactamente cero tiempo señalando este error atroz.
A modo de una breve explicación de por qué estaba sucediendo esto, Epic explicó cuando anunció su plan que sería bueno tener “competencia entre las fuentes de software en Android” y que los mejores “triunfarían en función del mérito”. Por supuesto, todos entendieron que lo que quería decir era que Epic no quería compartir los ingresos de su fuente de ingresos con Google, que se lleva el 30 por ciento de las compras dentro de la aplicación.
Muchos advirtieron que se trataba de un riesgo de seguridad por varias razones, por ejemplo, que los usuarios tendrían que habilitar la instalación de aplicaciones de fuentes desconocidas, algo que la mayoría de los usuarios no tienen por qué hacer. Y Play Store tiene otras protecciones y funciones, visibles y de otro tipo, que son útiles para los usuarios.
Comprensiblemente, a Google no le gustó el juego de Epic, que sin duda desempeñó un papel en la decisión de analizar el proceso de descarga e instalación, aunque estoy seguro de que la seguridad de sus usuarios también fue un factor motivador. Y no lo sabrías, encontraron una gran sorpresa de buenas a primeras.
En un hilo publicado una semana después de que el descargador de Fortnite se pusiera en marcha, un ingeniero de Google llamado Edward explicó que el instalador básicamente permitiría que un atacante instale todo lo que quiera usándolo.
El instalador de Fortnite básicamente descarga un APK (el paquete para aplicaciones de Android), lo almacena localmente y luego lo inicia. Pero debido a que se almacenó en un almacenamiento externo compartido, un delincuente podría intercambiar un nuevo archivo para que se inicie, en lo que se denomina un ataque de “hombre en el disco”.
Y debido a que el instalador solo verificó que el nombre del APK sea correcto, siempre que el archivo del atacante se llame “com.epicgames.fortnite”, ¡se instalará! Silenciosamente, y con muchos permisos adicionales también, si así lo desean, debido a cómo funcionan las políticas de instalación de fuentes desconocidas. ¡No es bueno!
Edward señaló que esto podría arreglarse fácilmente y en un tono magníficamente discreto y útilmente vinculado a una página en el sitio de desarrolladores de Android que describe la función básica que Epic debería haber usado.
Para crédito de Epic, sus ingenieros abordaron el problema de inmediato y tenían una solución en las obras esa misma tarde y la implementaron para la próxima. Epic InfoSec luego solicitó a Google que esperara 90 días antes de publicar la información.
Como puede ver, Google no se sentía generoso. Una semana después (eso es hoy) y la falla se ha publicado en el sitio de Google Issue Tracker en todo su … bueno, no exactamente en su gloria. Realmente, lo opuesto a la gloria. Esta parece haber sido la forma en que Google advirtió a los posibles amotinados de Play Store que no se les trataría con delicadeza. (Actualizar: Google dice que el tiempo de divulgación más corto es solo una política normal cuando se publica una solución rápidamente: el período oficial para la divulgación pública es “90 días, o antes si el proveedor publica una solución”).
El CEO de Epic Games, Tim Sweeney, tampoco se mostró divertido. En un comentario proporcionado a Android Central – que, por cierto, predijo que esto exactamente sucedería – criticó a la empresa por su decisión “irresponsable” de “poner en peligro a los usuarios”.
Epic realmente apreció el esfuerzo de Google para realizar una auditoría de seguridad en profundidad de Fortnite inmediatamente después de nuestro lanzamiento en Android, y compartir los resultados con Epic para que podamos emitir rápidamente una actualización para corregir la falla que descubrieron.
Sin embargo, fue una irresponsabilidad por parte de Google revelar públicamente los detalles técnicos de la falla tan rápidamente, mientras que muchas instalaciones aún no se habían actualizado y seguían siendo vulnerables.
Un ingeniero de seguridad de Epic, a petición mía, solicitó a Google que retrasara la divulgación pública durante los típicos 90 días para dar tiempo a que la actualización se instale de manera más amplia. Google se negó. Puede leerlo todo en https://issuetracker.google.com/issues/112630336
Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android, sin embargo, una empresa tan poderosa como Google debería practicar un tiempo de divulgación más responsable que este, y no poner en peligro a los usuarios en el curso de sus esfuerzos de contrarrepública contra la distribución de Epic de Fortnite fuera de Google Play. .
De hecho, las empresas deberían intentar no poner en peligro a sus usuarios por motivos egoístas.
Source link