Publicado el

Google encuentra una vulneravilidad en Fortnite Installer, la publica sin cumplir el rigor y Epic Games lo soluciona al día siguiente

fortnite mobile

La decisión de Epic Games de distribuir Fortnite fuera de Google Play Store ha sido ampliamente criticada tanto por usuarios como por medios especializados, la empresa quería ahorrarse ese 30 por ciento. Dado que la aplicación inicial del juego y las actualizaciones posteriores son manejadas por el launcher de Epic Games, en lugar de Play Store, la empresa responsable del juego tiene que construir su propia infraestructura de seguridad.

Google no se ha callado, no ha respetado los 90 días de rigor y ha publicado abiertamente el problema. Puede ser el efecto «zasca», y esta sea la manera de decir «te lo dije».

Google encuentra una vulnerabilidad, pero Epic Games reacciona rápido

samsung galaxy note 9 fortnite

La semana pasada, un ingeniero de Google hizo una publicación en la web Issue Tracker, explicando una vulnerabilidad descubierta en la aplicación que descarga y lanza Fortnite. Cuando la aplicación inicia la descarga el juego en forma de APK, verifica la firma para asegurarse de que el archivo no haya sido alterado. Sin embargo, el iniciador no verifica la integridad del APK antes de que comience el proceso de instalación, solo el nombre del paquete.

El ingeniero señaló que una aplicación maliciosa con el permiso WRITE_EXTERNAL_STORAGE podría reemplazar el APK de Fortnite inmediatamente después de que se complete el proceso de descarga, antes de que el usuario acepte realmente la instalación.

«En los dispositivos Samsung, el instalador de Fortnite realiza la instalación del APK silenciosamente a través de una API privada de Galaxy Apps. Esta API comprueba que el APK que se está instalando tiene el nombre de paquete com.epicgames.fortnite. En consecuencia, un APK falso con un nombre de paquete coincidente podría instalarse silenciosamente.

Si el APK falso tiene una targetSdkVersion de 22 o inferior, se le concederán todos los permisos que solicite en el momento de la instalación. Esta vulnerabilidad permite que una aplicación en el dispositivo se apodere del instalador de Fortnite para instalar un APK falso con cualquier permiso que normalmente requeriría el conocimiento del usuario.»

– Ingeniero de Google

Epic Games originalmente le pidió a Google que esperara 90 días antes de publicar el exploit, como es práctica habitual. La solución comenzó a implementarse el día después de que el problema fuera revelado públicamente.

Fortnite Samsung Galaxy

Epic Games ha respondido al acto realizado por Google, el cual no ha sentado nada bien para la compañía del juego Fortnite, el CEO habló con Android Central:

«Epic realmente aprecia el esfuerzo de Google por realizar una auditoría de seguridad en profundidad de Fortnite inmediatamente después de nuestra publicación en Android, y compartir los resultados con Epic para que pudiéramos publicar rápidamente una actualización que corrigiera el fallo que descubrieron.

Sin embargo, fue irresponsable por parte de Google divulgar públicamente los detalles técnicos del defecto tan rápidamente, mientras que muchas instalaciones aún no habían sido actualizadas y seguían siendo vulnerables.

Un ingeniero de seguridad de Epic, a instancias mías, solicitó a Google que retrasara la divulgación pública durante los típicos 90 días para permitir que la actualización se instalara más ampliamente. Google se negó. Puedes leerlo todo en https://issuetracker.google.com/issues/112630336

Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android, sin embargo, una compañía tan poderosa como Google debería practicar un tiempo de revelación más responsable que este, y no poner en peligro a los usuarios por sus esfuerzos mediáticos en contra de la distribución de Fortnite por parte de Epic fuera de Google Play.»

– El CEO de Epic Games, Tim Sweeney

La historia ya ha sido marcada como resulta por parte de Google:

«Gracias por la solución rápida.

Como mencionamos por correo electrónico, ahora que la versión revisada de Fortnite Installer ha estado disponible durante 7 días, procederemos a eliminar este problema de acuerdo con las prácticas de divulgación estándar de Google.»

– Ingeniero de Google

Puede que este error hubiera sido detectado antes de la divulgación oficialmente en la tienda de aplicaciones de Google, o puede que no, aunque es realizan una comprobación de todos los APK que se pueden descargar. Aunque sabemos que siempre se puede colar alguno. Por lo menos ahora los usuarios podrán ejecutar el juego sin temores.

Si tienes Telegram y no te quieres perder ninguna de nuestras noticias, únete a nuestrocanal para estar al día en todo momento: Newdroy.com