Google i Epic són els culpables del fiasco de seguretat de Fortnite

La versió d’Android de Fortnite s’ha convertit en un camp de batalla entre Google i Epic Games, l’editor del joc, amb les dues parts acusant l’altra de comprometre la seguretat dels usuaris.

Lamentablement, ambdues empreses tenen raó. Però, tot i que es barallen per la seva reducció respectiva del milió de dòlars que genera l'èxit de Epic, els jugadors paguen el preu.

Google té dret a criticar l’èpica

La decisió d’Epic de distribuir la versió d’Android de Fortnite a través del seu propi lloc web en lloc de Google Play va irritar a Google i amb una bona raó.

Google agafa una reducció del 30% dels ingressos de totes les aplicacions publicades a Google Play, i Epic Games no volia lliurar el que podria ser un fort canvi de Google a Google. El joc va generar ingressos de mil milions de dòlars durant el primer any; a iOS, Fortnite va generar 200 milions de dòlars en els seus primers cinc mesos.

Al juliol, Epic també va reduir el 30% al 12 per cent de la seva quota d’ingressos de la marca Unreal Engine Marketplace i el conseller delegat, Tim Sweeney, va atribuir el pas en part a l’èxit de Fortnite. Això va arribar setmanes abans que Epic publiqués la versió per a Android de Fortnite, possiblement per justificar la seva pròpia decisió de canviar els honoraris de Google Play.

A molts desenvolupadors no els agrada aquesta tarifa, però només una empresa de l’abast i la reputació de Epic pot evitar l’exposició que Google Play ofereix. (Apple cobra una tarifa idèntica a la seva botiga d'aplicacions, però iOS no ofereix cap opció per publicar les aplicacions fora de l'App Store.)

La distribució autònoma de Fortnite per a Android també proporciona accés a Epic als usuaris de zones com la Xina, on Google Play no està disponible, sense necessitat de desplegar mètodes de distribució separats. Però, els ingressos afegits justifiquen la pràctica insegura de publicar el joc fora de Google Play?

Google Play no té problemes de seguretat, però és el lloc més segur per publicar una aplicació per a Android. Es podria argumentar que, com a editor de bona reputació i professional, Epic s’adheriria a les pràctiques de codificació segures i, certament, mai no provocaria intencionadament codi maliciós a les seves aplicacions. Però sempre és necessari tenir un segon, tercer i, potser, un quart parell d’ulls professionals que revisin i auditin el seu codi i aplicació per a defectes de seguretat, com va demostrar després Google quan va descobrir un defecte amb l’instal·lador Android Fortnite.

El que realment fa que la decisió de Epic sigui perillosa és el fet que requereix que els usuaris canviïn la seguretat per defecte als seus telèfons per permetre la instal·lació d’aplicacions procedents de fonts diferents de Google Play. Això obre la caixa dels problemes de seguretat d’un Pandora i fa que els usuaris siguin vulnerables a molts tipus ciberataques . Per exemple, un esquema de planificació de planificació ben planificat podria atraure els usuaris a un lloc web fals que instal·li una versió maliciosa de l'aplicació des d'una font diferent dels servidors d'Epic Games.

Així doncs, la decisió d’Epic d’exposar els usuaris a riscos de seguretat pel fet de recuperar una part poc important dels seus ingressos només es pot qualificar d’egoista.

L’èpica té dret a criticar Google

Atès que Epic no va publicar Fortnite a Google Play, Google no tenia l'obligació de revisar-lo. Però la companyia no es va encaminar de revisar l'aplicació i, potser per al goig de Google, va trobar una greu vulnerabilitat de la persona en el disc a l'aplicació instal·ladora de Fortnite.

Això significa que quan el telèfon d’un usuari ja té una aplicació maliciosa, pot segrestar el procés d’instal·lació de Fortnite per instal·lar una versió del joc infectada per malware en lloc de l’autèntica.

Els esforços de Google són encomiable, ja que desenes de milions d’usuaris estaran jugant al joc mòbil en els propers mesos. I Epic va desplegar una actualització en un termini de 48 hores després de ser notificada sobre l'error.

Però malgrat la sol·licitud de Epic que Google espera 90 dies abans de divulgar l’error, Google va fer públic el fil conductor del Issue Tracker set dies després que Epic solucionés el defecte. "La seguretat dels usuaris és la nostra prioritat màxima i, com a part del nostre seguiment proactiu de programari maliciós, vam identificar una vulnerabilitat en l'instal·lador de Fortnite", va dir Google en resposta.

Però el fet que es divulgués la vulnerabilitat tan aviat posa en qüestió aquesta "prioritat màxima". En fer públic el fil, l’enginyer de Google va dir la decisió conformat a la seva política de divulgació de vulnerabilitat, que afirma: "Notifiquem immediatament als venedors les vulnerabilitats, amb detalls compartits en públic amb la comunitat defensiva després de 90 dies, o abans si el venedor allibera una correcció."

El conseller delegat d’Epic, Tim Sweeney, l’anomenava un moviment irresponsable i va acusar Google de posar en perill els usuaris "en el transcurs dels seus esforços contra la PR contra la distribució de Fortnite de Epic fora de Google Play".

• Una guia per a principiants a Fortnite: 12 consells per al primer partit Una guia per a principiants a Fortnite: 12 consells per al primer partit
• Fortnite a Android: l'aplicació amb el Samsung Galaxy S9 + Fortnite a Android: l'aplicació amb el Samsung Galaxy S9 +
• Com desbloquejar la pell exclusiva de Galaxy Fortnite Com desbloquejar la pell exclusiva de Galaxy Fortnite

Sweeney té raó. Google tenia moltes raons per mostrar més flexibilitat i restricció a l’hora de publicar l’error, si realment es preocupava per la seguretat dels seus usuaris. No oblidem que es tracta d’una aplicació distribuïda fora de Google Play, cosa que significa que el seu procés d’actualització pot no ser tan suau com altres aplicacions publicades a Play Store. A més, com que possiblement desenes de milions d’usuaris ja l’han instal·lat, esperem unes setmanes més per assegurar-se que tothom ha actualitzat l’aplicació no hauria patit cap mal.

Google té la pressa de divulgar els suggeriments d'errors en motius ultres, i el més evident és venjar-se de Epic Games per evitar la seva botiga Play. Tot i que Google no pot fer molt per obligar Epic a canviar el model de distribució de Fortnite, el seu càstig de la companyia envia un missatge a qualsevol desenvolupador que tingui pensaments sobre el pas de Google Play, on els usuaris gasten aproximadament 20.1 mil milions de dòlars cada any.

Tant Google com Epic Games guanyen efectiu, però, per aconseguir un benefici més gran del seu programari i plataforma, perjudiquen els usuaris que diuen servir.