Epic Games ha scelto di non rendere disponibile Fortnite dal Google Play Store, all’indomani di un certo scetticismo in merito alle implicazioni per la sicurezza. E questa misura inizia a mostrare alcuni difetti: qualcosa che Google ha scoperto di recente.
Secondo una pubblicazione del Google Issue Tracker, il programma di installazione di Fortnite Android presentava un difetto di sicurezza che, se sfruttato, poteva consentire l’installazione di applicazioni sconosciute o malware nel sistema.
Quando il programma di installazione di Fortnite inizia a scaricare l’applicazione principale, la firma del file viene controllata per assicurarsi che questo sia il file corretto. Tuttavia, l’applicazione non verifica la stessa firma dopo il completamento del download, ma verifica solo se il nome è lo stesso. Questo breve intervallo potrebbe consentire alle applicazioni maligne di sfruttare l’errore per installarsi sul sistema in modo silenzioso e possibilmente senza che l’utente se ne accorga.
La reazione di Google
Google avrà informato Epic Games in merito a questa situazione ed è stata fornita la scadenza di 90 giorni per la sua risoluzione – qualcosa che l’azienda fa in tali situazioni. Tuttavia, Epic Games dovrà rendere disponibile la correzione per il problema il giorno immediatamente successivo alla notifica, che ha anche portato alla divulgazione pubblica della falla prima del previsto.
Questa situazione avrebbe potuto essere evitata se Epic Games avesse utilizzato l’application store di Google, dove i file erano stati precedentemente scansionati, ed evitato anche la necessità di utilizzare un programma di installazione secondario. Tuttavia, è anche importante sottolineare il rapido intervento dell’editore per correggere il problema, con solo 24 ore dalla notifica alla correzione.