Google ed epic sono entrambi responsabili del fiasco sulla sicurezza di fortnite

La versione Android di Fortnite è diventata un campo di battaglia tra Google ed Epic Games, l'editore del gioco, con entrambe le parti che accusano l'altra di compromettere la sicurezza degli utenti.

Purtroppo, entrambe le società hanno ragione. Ma mentre litigano per il rispettivo taglio dei milioni di dollari generati dal grande successo di Epic, i giocatori pagano il prezzo.

Google ha ragione a criticare Epic

La decisione di Epic di distribuire la versione Android di Fortnite attraverso il proprio sito Web anziché Google Play ha infastidito Google e con buone ragioni.

Google ottiene una riduzione del 30 percento delle entrate di ogni app pubblicata su Google Play e Epic Games non ha voluto consegnare quella che probabilmente sarebbe una buona fetta di cambiamento a Google. Il gioco ha generato $ 1 miliardo di entrate durante il suo primo anno; su iOS, Fortnite ha generato $ 200 milioni nei suoi primi cinque mesi.

A luglio, Epic ha anche ridotto la propria quota di entrate dal mercato dei motori irreali dal 30% al 12% e il CEO Tim Sweeney ha attribuito il passaggio in parte al successo di Fortnite. Ciò è accaduto settimane prima che Epic pubblicasse la versione Android di Fortnite, probabilmente per giustificare la propria decisione di rinunciare alla commissione di Google Play.

A molti sviluppatori non piace questa tariffa, ma solo un'azienda della portata e della reputazione di Epic può evitare l'esposizione fornita da Google Play. (Apple applica una tariffa identica nel suo App Store, ma iOS non offre opzioni per il sideload delle app al di fuori dell'App Store.)

Fortnite per Android autodistribuibile consente inoltre a Epic di accedere agli utenti in aree come la Cina, dove Google Play non è disponibile, senza dover distribuire metodi di distribuzione separati. Ma le entrate aggiuntive giustificano la pratica insicura di pubblicare il gioco al di fuori di Google Play?

Google Play non è privo di difetti di sicurezza, ma è il posto più sicuro per pubblicare un'app Android. Si potrebbe sostenere che, in quanto editore rispettabile e professionale, Epic aderirebbe a pratiche di codifica sicure e di certo non infliggerebbe mai intenzionalmente codice dannoso alle sue app. Ma è sempre necessario avere una seconda, terza e forse quarta coppia di occhi professionali che riesaminano e controllano il codice e l'app per difetti di sicurezza, come Google ha dimostrato in seguito quando ha scoperto un difetto con l'installer Fortnite per Android.

Ciò che rende davvero pericolosa la decisione di Epic è il fatto che richiede agli utenti di modificare la sicurezza predefinita sui propri telefoni per consentire l'installazione di app da fonti diverse da Google Play. Questo apre una scatola di Pandora di mali di sicurezza e rende gli utenti vulnerabili a molti tipi di attacchi informatici . Ad esempio, uno schema di phishing ben pianificato potrebbe attirare gli utenti su un sito Web falso che installa una versione dannosa dell'app da una fonte diversa dai server di Epic Games.

Quindi la decisione di Epic di esporre gli utenti a rischi per la sicurezza per il recupero di una parte esigua delle sue entrate può essere descritta solo come egoista.

Epic ha ragione a criticare Google

Poiché Epic non ha pubblicato Fortnite su Google Play, Google non ha avuto l'obbligo di esaminarlo. Ma la società ha fatto di tutto per esaminare l'app e, forse per la gioia di Google, ha trovato una grave vulnerabilità man-in-the-disk nell'app di installazione di Fortnite.

Ciò significa che quando il telefono di un utente ha già un'app dannosa, può dirottare il processo di installazione di Fortnite per installare una versione del gioco infetta da malware anziché quella autentica.

Gli sforzi di Google sono lodevole, poiché decine di milioni di utenti giocheranno al gioco mobile nei prossimi mesi. Ed Epic ha lanciato un aggiornamento entro 48 ore dalla notifica del bug.

Ma nonostante la richiesta di Epic a Google aspettare 90 giorni prima di rivelare il bug, Google ha reso pubblico il thread di Issue Tracker sette giorni dopo che Epic ha risolto il difetto. "La sicurezza degli utenti è la nostra massima priorità e, nell'ambito del nostro monitoraggio proattivo del malware, abbiamo identificato una vulnerabilità nell'installer di Fortnite", ha affermato Google in risposta.

Ma il fatto che abbia rivelato la vulnerabilità così presto mette in discussione quella "massima priorità". Quando ha reso pubblico il thread, l'ingegnere di Google ha detto la decisione conformato alla sua politica di divulgazione delle vulnerabilità, che stabilisce "Notifichiamo immediatamente ai fornitori le vulnerabilità, con i dettagli condivisi in pubblico con la comunità difensiva dopo 90 giorni o prima se il fornitore rilascia una correzione".

Tim Sweeney, CEO di Epic, l'ha definita una mossa irresponsabile e ha accusato Google di mettere in pericolo gli utenti "nel corso dei suoi sforzi contro le pubbliche relazioni contro la distribuzione di Fortnite al di fuori di Google Play".

• Una guida per principianti a Fortnite: 12 consigli per la tua prima partita Una guida per principianti a Fortnite: 12 consigli per la tua prima partita
• Fortnite su Android: Hands On con il Samsung Galaxy S9 + Fortnite su Android: Hands On con il Samsung Galaxy S9 +
• Come sbloccare l'esclusiva skin skin di Fortnite Come sbloccare l'esclusiva skin skin di Fortnite

Sweeney ha ragione. Google aveva molte ragioni per mostrare maggiore flessibilità e moderazione nella pubblicazione del bug, se si fosse davvero preoccupato della sicurezza dei suoi utenti. Non dimentichiamo che questa è un'app distribuita al di fuori di Google Play, il che significa che il suo processo di aggiornamento potrebbe non essere fluido come altre app pubblicate nel Play Store. Inoltre, poiché forse decine di milioni di utenti l'hanno già installata, aspettando qualche settimana in più per assicurarsi che tutti abbiano aggiornato l'app non avrebbe fatto male.

La fretta di Google di rivelare i suggerimenti sui bug per ulteriori motivi, la più ovvia è la vendetta su Epic Games per aver aggirato il suo Play Store. Sebbene non ci sia molto da fare su Google per costringere Epic a cambiare il modello di distribuzione di Fortnite, la sua punizione per la società invia un messaggio a qualsiasi sviluppatore che nutre pensieri di bypassare Google Play, dove gli utenti spendono circa 20, 1 miliardi di dollari ogni anno.

Sia Google che Epic Games sono a corto di soldi, ma nel loro tiro alla fune per estrarre più profitti dal loro software e dalla loro piattaforma, stanno danneggiando gli utenti che sostengono di servire.