A Epic Games, no início deste mês
decidiu disponibilizar o fenomenalmente popular Fortnite para o Android em seu
próprio site, em vez da Play Store do Google. Infelizmente, o instalador tinha
uma falha de segurança perigosa que permitiria a um agente
malicioso instalar qualquer software que desejasse.
A Epic explicou quando anunciou seu plano que seria bom ter “concorrência entre as fontes de software no Android” e que o
melhor seria "ter sucesso baseado no mérito". Todos entenderam que o que ela queria dizer era que a Epic não espera dividir a
receita gerada, com o Google, que consome 30% das compras no aplicativo.
Muitos alertaram que esse era um
risco de segurança por várias razões, por exemplo, que os usuários teriam que
habilitar instalações de aplicativos de fontes desconhecidas, além da Play Store
ter outras proteções e recursos, visíveis ou não, que são úteis para os
usuários.
Em um tópico postado uma semana
depois que o download do Fortnite foi ao ar, um engenheiro do Google chamado
Edward explicou que o instalador basicamente permitiria que um invasor
instalasse o que quisesse.
Veja Também:
Tenda tecnológica: os gigantes da tecnologia são responsabilizados?
IPhones do futuro, relógios da Apple podem usar a nova tecnologia
FORTNITE: Segurança e Brinde
Tenda tecnológica: os gigantes da tecnologia são responsabilizados?
IPhones do futuro, relógios da Apple podem usar a nova tecnologia
FORTNITE: Segurança e Brinde
O instalador do Fortnite
basicamente faz o download de um APK (o pacote para aplicativos Android),
armazena-o localmente e o lança. Mas como foi guardado em um armazenamento
externo compartilhado, um cara mal-intencionado poderia colocar um novo arquivo
para ser lançado, no que é chamado de ataque "homem no disco".
Como o instalador só verificou se
o nome do APK está correto, desde que o arquivo do invasor seja chamado de
“com.epicgames.fortnite”, ele seria instalado! Silenciosamente, e com muitas
permissões extras também, devido ao funcionamento da política de instalação de
fontes desconhecidas.
Edward apontou que isso poderia ser consertado facilmente, apenas com um lance de sombreamento magnificamente discreto, ligado a uma página no
site do desenvolvedor Android, delineando o recurso básico que a Epic deveria
ter usado.
Para o crédito da Epic, seus engenheiros resolveram o
problema imediatamente e tiveram uma correção nos trabalhos naquela mesma tarde. A Epic solicitou ao
Google que esperasse 90 dias antes de publicar as informações.
Como você pode ver, o Google não estava se sentindo
generoso. Uma semana depois (ontem) a falha foi publicada no site do Google
Issue Tracker. Esta parece ter sido a maneira do Google de avisar a quaisquer
rebeldes da Play Store que eles não receberão tratamento gentil.