В файле для «прямой» установки Fortnite на Android-устройствах нашли уязвимость, которая позволяет уставноить на смартфон жертвы любые нужные злоумышленнику файлы, пишет TechCrunch.
Суть проблемы заключается в том, что APK-файл после запуска обращается к внешнему хранилищу, файлы в котором можно подменить, вынудив пользователя запустить любой код на устройстве жертвы. Такую ситуацию делает возможным недостаточная проверка: установщик сверяет только имя файла.
Сообщение разработчика Google содержало всю необходимую для исправления бага информацию, и инженеры Epic оперативно избавились от проблемы. Служба безопасности игрового издателся попросила Google не раскрывать информацию об уязвимости в течение 90 дней, но ИТ-гигант проигнорировал эту просьбу.
Глава Epic Games Тим Свини назвал такой шаг «безответственным». В Google утверждают, что не нарушили никаких правил, так как на момент публикации уязвимость устранили. По мнению TechCrunch, это могло быть способом ИТ-гиганта «показать, как бывает» всем, кто предпочтёт распространять свои программы в обход Play Store.
Напомним, запуск Fortnite для Android-устройств произошёл не в фирменном магазине прилорожений. Заявив о необоснованности 30-процентной комиссии Play Store, Epic Games предпочла прямое распространение с помощью apk-файлов.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.