Google og epic har begge skylden for fortnites sikkerhets fiasko

Android-versjonen av Fortnite har blitt en slagmark mellom Google og Epic Games, spillets utgiver, med begge parter som anklager den andre for å kompromittere sikkerheten til brukerne.

Beklageligvis har begge selskapene rett. Men mens de krangler om sitt respektive kutt på de millionene av Epics smash-hit genererer, betaler spillere prisen.

Google har rett i å kritisere Epic

Epics beslutning om å distribuere Android-versjonen av Fortnite gjennom sin egen webside i stedet for Google Play irked Google og med god grunn.

Google tar 30 prosent kutt av inntektene fra hver app som er publisert i Google Play, og Epic Games ønsket ikke å overlate det som trolig vil være en sunn del av endringen til Google. Spillet genererte en milliard dollar i omsetning i løpet av det første året; på iOS genererte Fortnite 200 millioner dollar de første fem månedene.

I juli reduserte Epic også omsetningsandelen fra Unreal Engine Marketplace fra 30 prosent til 12 prosent, og administrerende direktør Tim Sweeney tilskrev flyttingen delvis til Fortnites suksess. Dette kom uker før Epic publiserte Android-versjonen av Fortnite, muligens for å rettferdiggjøre sin egen beslutning om å dreie Google Play om avgiften.

Mange utviklere misliker denne avgiften, men bare et selskap med Epics rekkevidde og omdømme kan unngå eksponeringen som Google Play gir. (Apple krever en identisk avgift i App Store, men iOS tilbyr ingen muligheter for å laste apper utenfor App Store.)

Selvdistribuerende Fortnite for Android gir også Epic tilgang til brukere i områder som Kina, der Google Play ikke er tilgjengelig, uten å måtte distribuere separate distribusjonsmetoder. Men rettferdiggjør tilleggsinntektene den usikre praksisen med å publisere spillet utenfor Google Play?

Google Play er ikke uten sikkerhetsfeil, men det er det sikreste stedet å publisere en Android-app. Man kan hevde at Epic som en anerkjent og profesjonell utgiver ville følge sikker kodingspraksis og absolutt aldri med vilje påføre ondsinnet kode i appene sine. Men det er alltid nødvendig å ha et andre, tredje og kanskje fjerde par profesjonelle øyne til å gjennomgå og revidere koden og appen din for sikkerhetsfeil, slik Google senere demonstrerte da det oppdaget en feil med Android Fortnite-installasjonsprogrammet.

Det som virkelig gjør Epics beslutning farlig, er det faktum at det krever at brukerne endrer standardsikkerheten på telefonene sine for å tillate installasjon av apper fra andre kilder enn Google Play. Dette åpner en Pandoras boks med sikkerhetssykdommer og gjør brukere sårbare for mange typer cyberattacks . For eksempel kan en godt planlagt phishing-ordning lokke brukere til et falsk nettsted som installerer en ondsinnet versjon av appen fra en annen kilde enn Epic Games-servere.

Så Epics beslutning om å utsette brukere for sikkerhetsrisiko for å få tilbake en liten del av inntektene, kan bare beskrives som egoistisk.

Epic er riktig å kritisere Google

Siden Epic ikke publiserte Fortnite i Google Play, hadde Google ingen plikt til å gjennomgå det. Men selskapet gikk ut av sin måte å granske appen på, og - kanskje til Googles glede - fant det en alvorlig man-in-the-disk-sårbarhet i Fortnites installasjonsapp.

Dette betyr at når en brukers telefon allerede har en ondsinnet app, kan den kapre Fortnites installasjonsprosess for å installere en malware-infisert versjon av spillet i stedet for den autentiske.

Googles innsats er verdig, siden titalls millioner brukere vil spille mobilspillet i løpet av de kommende månedene. Og Epic lanserte en oppdatering innen 48 timer etter å ha blitt varslet om feilen.

Men til tross for Epics forespørsel fra Google vente 90 dager før de avslørte feilen, offentliggjorde Google Issue Tracker-tråden syv dager etter at Epic fikset feilen. "Brukersikkerhet er vår topp prioritet, og som en del av vår proaktive overvåking av malware, identifiserte vi et sårbarhet i Fortnite-installasjonsprogrammet, " sa Google i svar.

Men det at den avslørte sårbarheten så tidlig, bringer den "topp prioriteten" i tvil. Da offentliggjorde tråden, sa Googles ingeniør avgjørelsen dannet til sin informasjonspolicy om sårbarhet, der det heter: "Vi varsler leverandører om sårbarheter umiddelbart, med detaljer som deles offentlig med det defensive samfunnet etter 90 dager, eller før hvis leverandøren frigjør en løsning."

Epic-administrerende direktør Tim Sweeney kalte det et uforsvarlig grep og beskyldte Google for å ha utryddet brukere "i løpet av sin mot-PR-innsats mot Epics distribusjon av Fortnite utenfor Google Play."

• En nybegynnerguide til Fortnite: 12 tips for din første kamp En nybegynnerguide for fortnite: 12 tips for din første kamp
• Fortnite på Android: Hender på med Samsung Galaxy S9 + Fortnite på Android: Hender på med Samsung Galaxy S9 +
• Hvordan låse opp Fortnites eksklusive Galaxy Skin Hvordan låse opp Fortnite's Exclusive Galaxy Skin

Sweeney har rett. Google hadde mange grunner til å vise mer fleksibilitet og tilbakeholdenhet når det gjaldt å publisere feilen, hvis den virkelig brydde seg om sikkerheten til brukerne. La oss ikke glemme at dette er en app som distribueres utenfor Google Play, noe som betyr at oppdateringsprosessen kanskje ikke er like smidig som andre apper som er publisert i Play Store. Siden muligens titalls millioner brukere allerede har installert den, ventet noen uker til for å sikre at alle har oppdatert appen, ville ikke ha skadet.

Googles hastverk med å avsløre feilen hintet til ytre motiver, og det mest åpenbare er å hevne seg på Epic Games for å omgå Play-butikken. Selv om det ikke er mye som Google kan gjøre for å tvinge Epic til å endre Fortnites distribusjonsmodell, sender dens straff over selskapet en melding til enhver utvikler som har tanker om å omgå Google Play, der brukerne anslår 20, 1 milliarder dollar hvert år.

Både Google og Epic Games har mye penger, men i sin kampkamp for å hente ut mer fortjeneste ut av programvaren og plattformen deres, skader de brukerne de påstår å tjene.