Google і епопея винні у фіаско безпеки fortnite

Версія Android Fortnite стала полем битви між Google і Epic Games, видавцем гри, причому обидві сторони звинувачують інших у порушенні безпеки користувачів.

На жаль, обидві компанії мають рацію. Але в той час, як вони сваряться за відповідний зріз мільйонів доларів, генерується чудовий хіт Epic, геймери платять ціну.

Google має право критикувати епос

Рішення Epic про розповсюдження Android-версії Fortnite через власний веб-сайт замість Google Play роздратувало Google і з розумною причиною.

Google знижує прибуток на 30 відсотків від кожного додатка, опублікованого в Google Play, і Epic Games не хотіли передавати Google те, що, ймовірно, стане здоровим шматочком змін. Гра принесла 1 мільярд доларів доходу протягом першого року; на iOS Fortnite за перші п’ять місяців генерував 200 мільйонів доларів.

У липні компанія Epic також зменшила свою частку доходу від ринку нереальних двигунів з 30 відсотків до 12 відсотків, а генеральний директор Тім Суйні приписував цей крок частково успіху Fortnite. Це сталося за кілька тижнів до того, як Epic опублікував Android-версію Fortnite, можливо, щоб виправдати власне рішення стягнути плату за Google Play.

Багатьом розробникам не подобається цей гонорар, але лише компанія, що охоплює та репутацію Epic, може уникати експозиції, яку надає Google Play. (Apple стягує однакову плату у своєму App Store, але iOS не пропонує жодної можливості для завантаження додатків за межами App Store.)

Саморозподіл Fortnite для Android також надає Epic доступ користувачам у таких областях, як Китай, де Google Play недоступний без необхідності розгортання окремих методів розповсюдження. Але чи виправдовується додатковий дохід небезпечною практикою публікації гри за межами Google Play?

Google Play не позбавлений недоліків безпеки, але це найбезпечніше місце для публікації програми для Android. Можна стверджувати, що як поважний та професійний видавець, Epic дотримуватиметься безпечних методів кодування та, звичайно, ніколи навмисно не завдає шкідливого коду своїм програмам. Але завжди потрібно мати другу, третю та, можливо, четверту пару професійних оглядів, переглянути та перевірити ваш код та додаток на предмет недоліків безпеки, як пізніше Google продемонстрував, коли виявив недолік у програмі встановлення Android Fortnite.

Що дійсно робить рішення Epic небезпечним тим, що він вимагає від користувачів змінити безпеку за замовчуванням на своїх телефонах, щоб дозволити встановлення додатків з інших джерел, ніж Google Play. Це відкриває скриньку безпеки Pandora і робить користувачів уразливими для багатьох типів кібератаки . Наприклад, добре спланована схема фішингу може переманити користувачів на підроблений веб-сайт, який встановлює шкідливу версію програми з іншого джерела, ніж сервери Epic Games.

Таким чином, рішення Epic піддавати користувачів ризикам безпеки заради повернення мізерної частини своїх доходів може бути охарактеризовано лише як егоїстичне.

Епік правильно критикувати Google

Оскільки Epic не публікував Fortnite в Google Play, Google не зобов’язувався її переглядати. Але компанія вийшла зі шляху, щоб ретельно вивчити додаток, і - можливо, на радість Google - виявила серйозну вразливість людини на диску у програмі встановлення Fortnite.

Це означає, що коли на телефоні користувача вже є шкідливий додаток, він може захопити процес встановлення Fortnite, щоб встановити заражену шкідливим програмним забезпеченням версію гри замість справжньої.

Зусилля Google - це похвально, оскільки десятки мільйонів користувачів в найближчі місяці будуть грати в мобільну гру. І Epic запровадив оновлення протягом 48 годин після повідомлення про помилку.

Але незважаючи на прохання Epic про те, що Google чекати За 90 днів до розкриття помилки Google оприлюднила нитку випуску Tracker за сім днів після того, як Epic виправила ваду. "Безпека користувачів - наш головний пріоритет, і в рамках нашого активного моніторингу зловмисного програмного забезпечення ми виявили вразливість програми установки Fortnite", - йдеться у відповіді Google.

Але той факт, що він розкрив цю вразливість так рано, ставить цей «пріоритет» під сумнів. Під час оприлюднення нитки інженер Google заявив про своє рішення відповідна до політики розкриття вразливих місць, в якій зазначається: "Ми повідомляємо продавців про вразливості негайно, з деталями, які публічно публікуються з оборонною спільнотою через 90 днів або раніше, якщо постачальник випустить виправлення".

Генеральний директор Epic Тім Суїні назвав це безвідповідальним кроком і звинуватив Google у загрозі користувачам "в ході зусиль, спрямованих на боротьбу з PR, проти розповсюдження Epic Fortnite за межами Google Play".

• Посібник для початківців по Fortnite: 12 підказок для вашого першого матчу Посібник для початківців по Fortnite: 12 підказок для вашого першого матчу
• Fortnite на Android: Hands On With Samsung Galaxy S9 + Fortnite на Android: Hands On With Samsung Galaxy S9 +
• Як розблокувати ексклюзивну шкіру галактики Fortnite Як розблокувати ексклюзивну шкіру галактики Fortnite

Суїні має рацію. У Google було багато причин виявити більшу гнучкість та стриманість у публікації помилки, якщо вона справді піклувалася про безпеку своїх користувачів. Не забуваймо, що це додаток, який розповсюджується за межами Google Play, а це означає, що процес його оновлення може бути не таким плавним, як інші додатки, що публікуються в Play Store. Крім того, оскільки, можливо, десятки мільйонів користувачів вже встановили його, чекаючи ще декількох тижнів, щоб переконатися, що всі оновили додаток не зашкодили б.

Поспішність Google розкрити натяки на помилки на мотиви стихії, найочевиднішим є помста Epic Games за те, що вона обійшла свій магазин Play. Хоча Google не може багато зробити, щоб змусити Epic змінити модель розповсюдження Fortnite, її покарання компанія надсилає повідомлення будь-якому розробнику, котрий думає про обхід Google Play, де користувачі витрачають приблизно 20, 1 мільярда доларів щороку.

І Google, і Епічні ігри переповнюються грошима, але, перетягуючи їх, щоб отримати більше прибутку за рахунок свого програмного забезпечення та платформи, вони завдають шкоди тим користувачам, яких вони стверджують, що їх обслуговують.