FYI.

This story is over 5 years old.

Tecnologia

Google e Fortnite sono finiti in una battle royale

I ricercatori di Google hanno trovato delle gravi falle nella versione per Android di Fortnite, ma gli sviluppatori di Epic Games non l'hanno presa bene.
Riccardo Coluccini
Macerata, IT
Immagine: Epic Games

Da un paio di settimane Fortnite — nel caso non lo conosciate, è un videogioco online che nell'ultimo anno è stato giocato praticamente da chiunque — è finalmente sbarcato sui dispositivi Android, aumentando ancora di più il tempo che i giocatori di tutto il mondo spendono sul miracolo di Epic Games. I ricercatori di sicurezza informatica di Google, però, hanno subito bloccato i festeggiamenti: l’app presenta una grave vulnerabilità.

Pubblicità

Epic Games, l’azienda che sviluppa Fortnite, ha deciso di rendere disponibile il gioco bypassando direttamente il Google Play Store e fornendo la possibilità di scaricare l’app direttamente dal proprio sito: basta scaricare prima un altro software — chiamato Fortnite Installer — che si occupa poi di installare il gioco effettivo.

I ricercatori di Google hanno segnalato la vulnerabilità il 15 agosto. L’installer espone gli utenti a un attacco di tipo man-in-the-disk (MITD): quando l’installer scarica il file APK del gioco, un’altra app malevola già presente sul dispositivo potrebbe scambiare quel file con un altro, con il rischio di concedere l’accesso agli SMS, la cronologia delle chiamate, il GPS e persino la videocamera. I dispositivi coinvolti sono solamente quelli Samsung, i primi — e al momento unici — a poter utilizzare Fortnite per Android.

Epic Games ha risolto la vulnerabilità il giorno seguente, rilasciando una patch per l’installer: anziché salvare il file in una memoria insicura esterna è stato spostato in una interna, come suggerito anche da Google stessa.

A questo punto, però, Google e Epic Games hanno deciso di tuffarsi in una battle royale senza esclusione di colpi. Google, secondo le proprie procedure per la responsible disclosure — la condivisione pubblica delle vulnerabilità — , si riserva un tempo di 90 giorni prima di rilasciare pubblicamente informazioni o un tempo “più breve nel caso in cui l’azienda interessata risolva la vulnerabilità prima.”

Pubblicità

In questo caso Google ha deciso di attendere solo 7 giorni prima della pubblicazione della vulnerabilità. Scatenando così l’ira del presidente di Epic Games, Tim Sweeney, che, come riportato in un articolo di Mashable, ha dichiarato: “È stato irresponsabile da parte di Google divulgare pubblicamente i dettagli tecnici della falla in così poco tempo, mentre molte installazioni non erano ancora state aggiornate ed erano ancora vulnerabili.”

Uno degli ingegneri informatici di Fortnite aveva effettivamente richiesto a Google di attendere 90 giorni per la pubblicazione, ma i ricercatori di Google si sono rifiutati.

Uno degli ingegneri informatici di Fortnite aveva effettivamente richiesto a Google di attendere 90 giorni per la pubblicazione, ma i ricercatori di Google si sono rifiutati, come si può leggere in questo scambio di messaggi.

Tutta questa vicenda, però, ci porta a riflettere su tre distinti punti che finiscono spesso con l’intrecciarsi quando si parla di software per dispositivi mobili. Come ha sottolineato un ricercatore di sicurezza informatica su Twitter, questo tipo di attacco MITD è già noto da anni e le soluzioni per evitarlo sono semplici. Il secondo punto è lo strapotere degli store per le applicazioni: nel caso del Play Store, Google guadagna il 30% dagli acquisti in-app e può decidere cosa resta sullo store e cosa no a propria discrezione — Fortnite vive proprio degli acquisti in-app. Infine, passare per altri canali per scaricare delle applicazioni può esporre gli utenti a ulteriori vulnerabilità e a procedure per l’aggiornamento più macchinose: non si può avere la certezza di scaricare il giusto file e soprattutto non si ha la garanzia di ricevere aggiornamenti pronti e continui come avviene ad esempio con il Play Store.

La baruffa tra Google e Epic Games sembra limitarsi ai modi della responsible disclosure incriminata, ma in realtà ha sollevato per l’ennesima volta la polvere che nasconde lo stato attuale del mondo delle applicazioni per dispositivi mobili.

Segui Riccardo su Twitter: @ORARiccardo