Google en epic zijn beide verantwoordelijk voor het beveiligingsfiasco van fortnite

De Android-versie van Fortnite is een strijdtoneel geworden tussen Google en Epic Games, de uitgever van de game, waarbij beide partijen elkaar beschuldigen van het in gevaar brengen van de veiligheid van gebruikers.

Helaas hebben beide bedrijven gelijk. Maar terwijl ze ruzie maken over hun respectieve deel van de miljoenen dollars die Epic's hit oplevert, betalen gamers de prijs.

Google heeft gelijk om Epic te bekritiseren

De beslissing van Epic om de Android-versie van Fortnite via zijn eigen website te distribueren in plaats van Google Play irriteerde Google en met goede reden.

Google haalt 30 procent van de inkomsten uit elke app die op Google Play wordt gepubliceerd, en Epic Games wilde niet overhandigen wat waarschijnlijk een gezond stuk veranderingen aan Google zou zijn. De game genereerde tijdens het eerste jaar $ 1 miljard aan inkomsten; op iOS genereerde Fortnite in de eerste vijf maanden $ 200 miljoen.

In juli verminderde Epic ook zijn omzetaandeel van de Unreal Engine Marketplace van 30 procent naar 12 procent, en CEO Tim Sweeney schreef de stap deels toe aan het succes van Fortnite. Dit gebeurde weken voordat Epic de Android-versie van Fortnite publiceerde, mogelijk om zijn eigen beslissing te rechtvaardigen om de kosten van Google Play af te wijzen.

Veel ontwikkelaars houden niet van deze vergoeding, maar alleen een bedrijf met het bereik en de reputatie van Epic kan zich onttrekken aan de bekendheid die Google Play biedt. (Apple brengt een identieke vergoeding in rekening in de App Store, maar iOS biedt geen optie voor het sideloaden van apps buiten de App Store.)

Zelfdistributie van Fortnite voor Android geeft Epic ook toegang aan gebruikers in gebieden zoals China, waar Google Play niet beschikbaar is, zonder dat ze afzonderlijke distributiemethoden hoeven in te zetten. Maar rechtvaardigt de toegevoegde inkomsten de onzekere praktijk van het publiceren van de game buiten Google Play?

Google Play is niet zonder beveiligingsfouten, maar het is de veiligste plek om een ​​Android-app te publiceren. Je zou kunnen stellen dat Epic als een gerenommeerde en professionele uitgever zich zou houden aan veilige codeerpraktijken en zeker nooit opzettelijk kwaadaardige code zou aanbrengen in zijn apps. Maar het is altijd nodig om een ​​tweede, derde en misschien vierde paar professionele ogen te hebben om uw code en app te controleren en te controleren op beveiligingsfouten, zoals Google later aantoonde toen het een fout ontdekte met het Android Fortnite-installatieprogramma.

Wat de beslissing van Epic echt gevaarlijk maakt, is het feit dat gebruikers de standaardbeveiliging op hun telefoons moeten wijzigen om de installatie van apps van andere bronnen dan Google Play mogelijk te maken. Dit opent een doos met beveiligingsproblemen van Pandora en maakt gebruikers kwetsbaar voor vele soorten cyberaanvallen . Een goed gepland phishing-schema kan bijvoorbeeld gebruikers naar een nepwebsite lokken die een kwaadaardige versie van de app installeert vanaf een andere bron dan de servers van Epic Games.

Dus het besluit van Epic om gebruikers bloot te stellen aan beveiligingsrisico's om een ​​klein deel van de inkomsten te recupereren, kan alleen worden omschreven als egoïstisch.

Epic heeft gelijk om Google te bekritiseren

Aangezien Epic Fortnite niet op Google Play heeft gepubliceerd, was Google niet verplicht het te beoordelen. Maar het bedrijf deed zijn uiterste best om de app onder de loep te nemen en vond - misschien tot grote vreugde van Google - een ernstige man-in-the-disk-kwetsbaarheid in de installatie-app van Fortnite.

Dit betekent dat wanneer de telefoon van een gebruiker al een schadelijke app heeft, deze het installatieproces van Fortnite kan kapen om een ​​met malware geïnfecteerde versie van de game te installeren in plaats van de authentieke.

Google's inspanningen zijn lovenswaardig, omdat tientallen miljoenen gebruikers de mobiele game de komende maanden zullen spelen. En Epic heeft binnen 48 uur na de melding van de bug een update uitgerold.

Maar ondanks het verzoek van Epic aan Google wacht 90 dagen voordat de bug werd bekendgemaakt, maakte Google de Issue Tracker-thread zeven dagen nadat Epic de fout had opgelost, openbaar. "Gebruikersbeveiliging is onze topprioriteit en als onderdeel van onze proactieve monitoring op malware hebben we een kwetsbaarheid in het Fortnite-installatieprogramma vastgesteld, " zei Google in reactie.

Maar het feit dat het de kwetsbaarheid zo vroeg heeft onthuld, brengt die "topprioriteit" in twijfel. Toen de thread openbaar werd gemaakt, zei de ingenieur van Google de beslissing gelijkvormig aan het beleid inzake de openbaarmaking van kwetsbaarheden, dat luidt: "We brengen leveranciers onmiddellijk op de hoogte van kwetsbaarheden, met details die na 90 dagen in het openbaar met de defensieve gemeenschap worden gedeeld, of eerder als de verkoper een fix vrijgeeft."

Tim Sweeney, CEO van Epic, noemde het een onverantwoordelijke stap en beschuldigde Google van het in gevaar brengen van gebruikers "in de loop van zijn tegeninspanningen tegen Epic's distributie van Fortnite buiten Google Play."

• Een beginnersgids voor Fortnite: 12 tips voor uw eerste wedstrijd Een beginnersgids voor Fortnite: 12 tips voor uw eerste wedstrijd
• Fortnite op Android: Hands On met de Samsung Galaxy S9 + Fortnite op Android: Hands On met de Samsung Galaxy S9 +
• Hoe Fortnite's exclusieve Galaxy Skin te ontgrendelen Hoe Fortnite's exclusieve Galaxy Skin te ontgrendelen

Sweeney heeft gelijk. Google had veel redenen om meer flexibiliteit en terughoudendheid te tonen bij het publiceren van de bug, als het echt om de veiligheid van zijn gebruikers had gegeven. Laten we niet vergeten dat dit een app is die buiten Google Play wordt gedistribueerd, wat betekent dat het updateproces mogelijk niet zo soepel verloopt als andere apps die in de Play Store worden gepubliceerd. Omdat mogelijk tientallen miljoenen gebruikers het al hebben geïnstalleerd, zou het nog een paar weken wachten om ervoor te zorgen dat iedereen de app heeft bijgewerkt geen kwaad.

Google's haast om de bug-hints over bijbedoelingen te onthullen, waarvan de meest voor de hand liggende wraak op Epic Games is om de Play Store te omzeilen. Hoewel Google niet veel kan doen om Epic te dwingen het distributiemodel van Fortnite te veranderen, stuurt de straf van het bedrijf een bericht naar elke ontwikkelaar die gedachten heeft over het omzeilen van Google Play, waar gebruikers naar schatting $ 20, 1 miljard per jaar uitgeven.

Zowel Google als Epic Games zitten vol met contant geld, maar in hun strijd om meer winst te halen uit hun software en platform, kwetsen ze de gebruikers die ze beweren te dienen.