Le vendredi, Google a divulgué une grave faille de sécurité dans la version Android du célèbre jeu en ligne Fortnite d'Epic Games.
Avez-vous déjà visité le site d'actualités de blockchain et de crypto-monnaie sans hype de TNW?
Il s'appelle Hard Fork.
La décision de Google pour sonder Fortnite pour Android visait à protéger les dizaines de millions d'utilisateurs qui utilisent le jeu mobile, du moins c'est ce que Google dit.
Mais le conflit de plusieurs semaines montre que la sécurité des joueurs est bloquée. le solde, les priorités d'Epic Games et de Google sont ailleurs.
Le geste égoïste d'Epic pour contourner la vache à lait de Google
Epic a lancé début août la version Android de son grand succès. Mais contrairement au processus recommandé, la société a décidé de distribuer Fortnite pour Android sur son propre site Web plutôt que de le publier sur Google Play Store.
Pour obtenir Fortnite Android, les utilisateurs doivent d'abord 19659012] installe le Fortnite Installer qu'ils peuvent obtenir via le Galaxy App Store (pour les appareils Samsung ) ou en s'enregistrant sur le site Web d'Epic (pour tous les autres appareils Android).
télécharge la dernière version de Fortnite sur les serveurs d'Epic et l'installe sur votre smartphone.
Epic a décidé de contourner Play Store pour contourner les 30% de réduction des revenus générés par les applications publiées sur l'App Store. 30%, c'est beaucoup, en particulier pour un jeu qui a rapporté 318 millions de dollars pour le seul mois de mai .
C'est le montant que toutes les applications versent à Google pour pouvoir le Play Store. (Note: Apple facture un montant similaire sur son App Store, mais il n'y a aucun moyen pour Epic de distribuer son application en dehors de l'App Store.)
ce n'est pas une option viable pour tout le monde. La plupart des entreprises et des développeurs indépendants ont besoin du Google Play Store pour accéder aux milliards d'utilisateurs qui l'ont installé sur leurs téléphones.
Mais Fortnite, qui compte déjà 125 millions d'utilisateurs sur d'autres plateformes, n'a pas besoin
Mais distribuer l'application en dehors du Play Store signifie que les utilisateurs doivent compromettre leur sécurité pour installer Fortnite sur leurs appareils. Par défaut, Android permet uniquement aux utilisateurs d'installer des applications à partir du Play Store, où Google examine minutieusement chaque application pour détecter les défaillances de sécurité.
Cela ne signifie pas qu'il n'y a pas d'applications malveillantes sur Google Play, mais au moins beaucoup plus fiable que des sources inconnues.
Pour pouvoir installer Fortnite sur leur Android, les utilisateurs doivent modifier le paramètre sur leur téléphone afin de pouvoir transférer des applications d'autres magasins d'applications et sources inconnues.
Mais cela signifie que toute autre application qui proviennent d'autres sources potentiellement malveillantes peuvent trouver leur chemin dans leurs téléphones. Compte tenu de la popularité de Fortnite, il s’agit d’un risque que de nombreux utilisateurs sont prêts à prendre. Par exemple, si un utilisateur reçoit un e-mail de phishing qui les contient sur un site Web contenant une version de Fortnite infectée par un logiciel malveillant, son téléphone ne les protège pas s'il l'installe.
Étant donné qu'un grand nombre de joueurs sont des enfants, le processus d'installation peut être compromis de diverses manières pour installer des applications malveillantes sur les appareils des utilisateurs.
En outre, les paiements intégrés sont très populaires dans Fortnite. Les cybercriminels sont plus motivés pour cibler leurs utilisateurs.
Les utilisateurs peuvent désactiver l'option après avoir installé Fortnite, mais ils devront la réactiver chaque fois qu'il y aura une mise à jour. L'histoire prouve que l'utilisateur moyen préfère la commodité à la sécurité.
Google se venge d'une manière qui met en danger les utilisateurs
Même si Epic n'a pas envoyé Fortnite pour publication dans Play Store, Google a détecté toute vulnérabilité possible. un point. Et pour sa plus grande joie, il a trouvé ce qu'il cherchait.
Selon plate-forme Google Tracker Google a communiqué une grave faille de sécurité à Epic Games le 15 août. L'ingénieur de Google qui a classé la faille, une application malveillante peut compromettre le processus de téléchargement et d'installation de l'installateur Fortnite pour télécharger une application incorporée à un logiciel malveillant sur son appareil, son emplacement, son microphone, son stockage et son téléphone
L'ingénieur qui a signalé la faille a également publié une vidéo montrant le fonctionnement de l'exploit et une version non authentique du jeu installée sur l'appareil.
Bien sûr, l'exploit ne fonctionnera que si une application malveillante est déjà présente sur le périphérique pour intercepter la demande de téléchargement et la rediriger vers la source malveillante. 04] Mais vous avez déjà augmenté les chances que les applications malveillantes se retrouvent sur votre appareil lorsque vous modifiez les paramètres de votre téléphone pour accepter les installateurs de sources inconnues.
L'équipe infosec d'Epic confirme que la faille a remercié l'ingénieur et corrigé la faille dans les prochaines 48 heures. Ils ont ensuite demandé à Google d’attendre 90 jours avant de divulguer la découverte.
Cette période est censée donner à Epic suffisamment de temps pour s’assurer que tous les appareils ont été mis à jour et ne sont pas vulnérables à l’exploitation. Quelques jours plus tard, le 24 août: «la version corrigée de Fortnite Installer est disponible depuis 7 jours. Nous allons restreindre ce problème conformément aux pratiques de divulgation standard de Google.»
Un porte-parole de Google [19659044] a déclaré à Android Central : «La sécurité des utilisateurs est notre priorité et, dans le cadre de notre surveillance proactive des logiciels malveillants, nous avons identifié une vulnérabilité dans le programme d’installation de Fortnite»
. Jeux épiques. Pour être clair, peu d'entreprises ont la portée indépendante d'Epic Games pour pouvoir contourner le Play Store, mais la divulgation rapide de Google constitue une menace implicite contre les sociétés qui envisagent de reproduire les pratiques d'Epic à l'avenir.
La divulgation rapide de Google est «irresponsable», d'autant plus que de nombreuses installations n'ont pas encore été mises à jour et sont toujours vulnérables. Sweeny a également accusé Google de mettre en danger les utilisateurs «dans le cadre de ses efforts anti-RP contre la distribution de Fortnite par Epic en dehors de Google Play».
Les utilisateurs sont les véritables perdants dans la lutte entre les géants. déjà en pleine liquidité, Google et Epic Games feraient preuve d'un meilleur jugement.
Epic Games a raison de penser que Google arrache ses développeurs en imposant un prélèvement de 30% sur leurs revenus intégrés. C'est un sentiment que partagent de nombreux développeurs.
Mais la décision d'Epic de contourner Google Play et de maximiser ses bénéfices au détriment de la sécurité de ses utilisateurs était un mauvais jugement.
De même, les représailles de Google pour révéler la vulnérabilité de Fortnite une courte période de temps a été tout aussi mauvaise, car là encore, cela s'est fait au détriment des utilisateurs qui n’avaient toujours pas mis à jour leur application d’installation.
semble perdre sa signification est la sécurité des utilisateurs qui seront affectés par leurs décisions.
L'épisode entier me rappelle une citation d'un de mes romans préférés: “ Que l'ours bat le loup ou que le loup bat l'ours, le lapin perd toujours. »
Cette histoire est republiée de TechTalks le blog qui explore comment la technologie résout les problèmes … Et créer n ew ceux. Aimez-les sur Facebook ici et suivez-les ici:
Source link