Después de muchos rumores, Fortnite Mobile finalmente hizo su debut en Android a principios de este mes junto con el anuncio del Samsung Galaxy Note9. Sin embargo, para aquellos que no lo saben, Fortnite Mobile para Android no está disponible para descargar a través de Google Play Store. En cambio, se distribuye a través del sitio web oficial de Epic Games, desarrollador y editor de Fortnite Mobile. Esto dio lugar a muchos debates y temores en torno a los posibles riesgos de seguridad, y ese temor resultó ser cierto, ya que el primer instalador de Fortnite para Android llegó con una falla de seguridad importante.
Como Fortnite Mobile para Android no está disponible para descargar a través de Play Store, los usuarios deben descargar lo que se llama Fortnite Installer del sitio web oficial de Epic Games. Este instalador luego instala el juego en su teléfono inteligente Android. Sin embargo, un miembro del equipo de seguridad de Google descubrió una falla de seguridad importante en este instalador que podría permitir la instalación silenciosa de aplicaciones en dispositivos Android, incluso cuando la instalación desde fuentes desconocidas está prohibida.
La falla de seguridad hizo que el instalador fuera vulnerable al ataque Man-in-the-Disk que podría permitir que otras aplicaciones descarguen aplicaciones falsas o maliciosas en su teléfono inteligente Android sin que usted lo sepa. Sin embargo, para aprovechar esta vulnerabilidad, es necesario que ya tenga instalada una aplicación en su teléfono inteligente que pueda descargar aplicaciones falsas / maliciosas en su teléfono inteligente. Bueno, esto solo podría ser un problema para aquellos que descargan aplicaciones no tan legítimas de fuentes distintas a la Play Store de Google.
Esto es lo que dijo el ingeniero de Google al informar el problema:
"En los dispositivos Samsung, el instalador de Fortnite realiza la instalación del APK de forma silenciosa a través de una API privada de Galaxy Apps. Esta API comprueba que el APK que se está instalando tiene el nombre de paquete com.epicgames.fortnite. En consecuencia, el APK falso con un nombre de paquete coincidente se puede instalar de forma silenciosa.
Si el APK falso tiene una targetSdkVersion de 22 o menor, se le otorgarán todos los permisos que solicite en el momento de la instalación. Esta vulnerabilidad permite a una aplicación en el dispositivo secuestrar el instalador de Fortnite para instalar en su lugar un APK falso con cualquier permiso que normalmente requeriría la divulgación del usuario."
Por suerte, esta vulnerabilidad fue corregida por Epic Games en dos días de ser informado por Google mediante la implementación de un instalador de Fortnite parcheado con el número de versión 2.1.0. Si tiene Fortnite Installer 2.1.0 instalado en su teléfono inteligente, ya no tiene que preocuparse por esta vulnerabilidad, pero, si no lo hace, la mejor manera de mantenerse seguro es desinstalar Fortnite Installer y luego descargarlo nuevamente desde Sitio web de Epic Games.
Epic Games no ha revelado si esta vulnerabilidad fue explotada o no, pero el CEO de la compañía definitivamente no está contento con Google por revelar esta falla de seguridad públicamente dentro de los 90 días, que es el período de tiempo estándar para revelar un problema públicamente. Sin embargo, Google tiene una política de divulgar los problemas de seguridad públicamente después de siete días desde que se corrigieron.
Aquí está la declaración completa de Tim Sweeney, CEO de Epic Games:
"Epic realmente apreció el esfuerzo de Google para realizar una auditoría de seguridad en profundidad de Fortnite inmediatamente después de nuestro lanzamiento en Android, y compartir los resultados con Epic para que podamos emitir rápidamente una actualización para corregir la falla que descubrieron.
Sin embargo, fue una irresponsabilidad de Google revelar públicamente los detalles técnicos de la falla tan rápidamente, mientras que muchas instalaciones aún no se habían actualizado y seguían siendo vulnerables.
Un ingeniero de seguridad de Epic, a petición mía, solicitó a Google que retrasara la divulgación pública durante los típicos 90 días para dar tiempo a que la actualización se instale de manera más amplia. Google se negó. Puede leerlo todo en https://issuetracker.google.com/issues/112630336
Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android; sin embargo, una empresa tan poderosa como Google debería practicar un tiempo de divulgación más responsable que este, y no poner en peligro a los usuarios en el curso de sus esfuerzos de contrarrepúblicas contra la distribución de Epic de Fortnite fuera de Google Play. ."
Leer también: Esta es la razón por la que Fortnite Mobile para Android no está disponible para descargar a través de Google Play Store
Bueno, no hubiéramos tenido este tipo de problemas con los que lidiar en primer lugar si Epic Games hubiera decidido distribuir el juego a través de Google Play Store en lugar de su propio sitio web. Dicho esto, Epic Games realmente merecen una palmada en la espalda por solucionar esta vulnerabilidad dentro de los dos días posteriores a la notificación de Google.
Fuente | Vía
Síganos en Google News
Obtenga actualizaciones tecnológicas en Telegram
ARTÍCULOS RELACIONADOS:
LG F240K con pantalla Full-HD y S4 Pro de 1,5 GHz en los resultados de referencia
Las imágenes del Samsung Galaxy S8 con cámara dual vuelven a aparecer
Xiaomi puede lanzar el Mi Note 2 en agosto
HTC Desire 10 Lifestyle y Desire 10 Pro presentados
Cómo verificar si su PC está ejecutando la última versión de Windows 10
La compilación de Windows Phone 8 ‘Apollo’ aparece en una aplicación de estadísticas