Fortnite

Epic Games llama a Google "irresponsable" por revelar el gran exploit de Fortnite para Android

por Francisco Garcia

Compartir


El consejero delegado de Epic Games, Tim Sweeney, calificó la decisión de Google de divulgar públicamente los detalles de un importante exploit de Fortnite Android de "irresponsable".

Epic decidió no usar la plataforma Google Play para el lanzamiento de su popular juego battle royale en Android, un movimiento inesperado para algunos, y ahora parece que Google podría estar respondiendo.

Inicialmente, Google advirtió a Epic que pasar por alto la Play Store y usar su propio iniciador conllevaría riesgos de seguridad que, de lo contrario, Google enfrentaría.

Publicidad

Y esta posibilidad se hizo realidad, cuando se descubrió un exploit 'Man In The Disk' (MiTD) en el iniciador de Epic Games, permitiendo a los usuarios maliciosos 'secuestrar' la descarga de la aplicación de Fortnite, y en su lugar instalar un software completamente diferente.

Google descubrió el exploit el 15 de agosto e hizo conscientes a Epic Games de inmediato. Epic confirmó el conocimiento del exploit y dijo que estaban trabajando en una solución, y el 16 de agosto a las 4:12 pm PT, la solución se había implementado.

Publicidad

A las dos horas de implementar la solución, Epic le pidió a Google que mantuviera en privado los detalles del exploit, que Google dice que harán durante hasta 90 días, para permitir a los usuarios aplicar parches a sus dispositivos.

Pero Google no esperó los 90 días, en lugar de revelar la vulnerabilidad solo siete días después. Esto no le gustó a Epic Games, y provocó que Sweeney hiciera una declaración sobre el tema, hablando con Mashable:

Publicidad

"Epic realmente apreció el esfuerzo de Google para realizar una auditoría de seguridad en profundidad de Fortnite inmediatamente después de nuestro lanzamiento en Android, y compartir los resultados con Epic para que pudiéramos publicar rápidamente una actualización para corregir el error que descubrieron.

Sin embargo, fue irresponsabilidad de Google divulgar públicamente los detalles técnicos del fallo tan rápidamente, mientras que muchas instalaciones aún no se habían actualizado y aún eran vulnerables.

Un ingeniero de seguridad de Epic, a instancias mías, solicitó a Google retrasar la divulgación pública durante los 90 días típicos para dar tiempo a que la actualización se instale más ampliamente. Google se negó. Puede leerlo todo en https://issuetracker.google.com/issues/112630336

Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android; sin embargo, una compañía tan poderosa como Google debería practicar un tiempo de revelación más responsable que esto, y no poner en peligro a los usuarios en el transcurso de sus esfuerzos contra la distribución de Fortnite fuera de Google Play."

Google también tuvo su opinión al respecto, afirmando que la seguridad del usuario siempre tiene prioridad:

"La seguridad del usuario es nuestra principal prioridad, y como parte de nuestro monitoreo proactivo de malware, identificamos una vulnerabilidad en el instalador de Fortnite. Inmediatamente notificamos a Epic Games y solucionaron el problema".

Epic claramente siente que Google divulgó intencionalmente el exploit antes de lo necesario como castigo por evitar la tienda de Google Play.

Publicidad