Google og epic har begge skylden for fortnites sikkerheds fiasko

Android-versionen af ​​Fortnite er blevet en slagmark mellem Google og Epic Games, spillets udgiver, hvor begge parter beskylder den anden for at gå på kompromis med brugernes sikkerhed.

Beklageligvis har begge virksomheder ret. Men mens de er i konflikt med deres respektive nedskæring på de millioner af dollars, som Epics smash-hit genererer, betaler spillerne prisen.

Google har ret til at kritisere Epic

Epics beslutning om at distribuere Android-versionen af ​​Fortnite gennem sit eget websted i stedet for Google Play irriterede Google og med god grund.

Google tager en 30 procent reduktion af indtægterne fra hver app, der er offentliggjort i Google Play, og Epic Games ønskede ikke at udlevere, hvad der sandsynligvis ville være en sund del af ændringen til Google. Spillet genererede $ 1 milliard i omsætning i løbet af det første år; på iOS genererede Fortnite 200 millioner dollars i sine første fem måneder.

I juli reducerede Epic også sin omsætningsandel fra Unreal Engine Marketplace fra 30 procent til 12 procent, og administrerende direktør Tim Sweeney tilskrev flytningen delvis til Fortnites succes. Dette kom uger før Epic offentliggjorde Android-versionen af ​​Fortnite, muligvis for at retfærdiggøre sin egen beslutning om at dreje Google Play's gebyr.

Mange udviklere kan ikke lide dette gebyr, men kun et selskab med Epics rækkevidde og omdømme kan undgå eksponeringen, som Google Play giver. (Apple opkræver et identisk gebyr i sin App Store, men iOS tilbyder ingen mulighed for sideladning af apps uden for App Store.)

Selvdistribuerende Fortnite til Android giver også Epic adgang til brugere i områder som Kina, hvor Google Play ikke er tilgængelig, uden at skulle installere separate distributionsmetoder. Men berettiger den ekstra indtægt den usikre praksis med at offentliggøre spillet uden for Google Play?

Google Play er ikke uden sikkerhedsfejl, men det er det mest sikre sted at udgive en Android-app. Man kunne hævde, at Epic som en velrenommeret og professionel udgiver ville overholde sikker kodningspraksis og bestemt aldrig med vilje påføre ondsindet kode i sine apps. Men det er altid nødvendigt at få et andet, tredje og måske fjerde par professionelle øjne til at gennemgå og revidere din kode og app for sikkerhedsfejl, som Google senere demonstrerede, da det opdagede en fejl med Android Fortnite-installationsprogrammet.

Det, der virkelig gør Epics beslutning farlig, er det faktum, at det kræver, at brugerne ændrer standardsikkerheden på deres telefoner for at tillade installation af apps fra andre kilder end Google Play. Dette åbner en Pandoras æske med sikkerhedssygdomme og gør brugerne sårbare over for mange typer cyberangreb . F.eks. Kunne en godt planlagt phishing-ordning lokke brugerne til et falsk websted, der installerer en ondsindet version af appen fra en anden kilde end Epic Games 'servere.

Så Epics beslutning om at udsætte brugere for sikkerhedsrisici med henblik på at inddrive en mager del af dens indtægter kan kun beskrives som egoistisk.

Epic har ret til at kritisere Google

Da Epic ikke offentliggjorde Fortnite i Google Play, var Google ikke forpligtet til at gennemgå det. Men virksomheden gik ud af sin måde at undersøge appen, og - måske til Googles glæde - det fandt en alvorlig man-in-the-disk sårbarhed i Fortnites installations-app.

Dette betyder, at når en brugers telefon allerede har en ondsindet app, kan den kapre Fortnites installationsproces for at installere en malware-inficeret version af spillet i stedet for den autentiske.

Googles indsats er prisværdigt, da titusinder af millioner brugere vil spille det mobile spil i de kommende måneder. Og Epic lancerede en opdatering inden for 48 timer efter at have fået besked om fejlen.

Men på trods af Epics anmodning om, at Google vente 90 dage før afsløringen af ​​fejlen offentliggjorde Google Issue Tracker-tråden offentlig syv dage efter, at Epic fik rettet fejlen. "Brugersikkerhed er vores højeste prioritet, og som en del af vores proaktiv overvågning af malware identificerede vi en sårbarhed i Fortnite-installationsprogrammet, " sagde Google som svar.

Men det faktum, at det afslørede sårbarheden så tidligt, bringer spørgsmålet om den "øverste prioritet" i tvivl. Da offentliggørelsen af ​​tråden sagde Googles ingeniør beslutningen efterkommet til dens offentliggørelsespolitik for sårbarhed, der siger: "Vi underretter leverandører om sårbarheder med det samme, med detaljer, der deles offentligt med det defensive samfund efter 90 dage, eller før hvis leverandøren frigiver en rettelse."

Epic-direktør Tim Sweeney kaldte det et uansvarligt træk og beskyldte Google for at bringe brugerne i fare "i løbet af sin mod-PR-indsats mod Epics distribution af Fortnite uden for Google Play."

• En begyndervejledning til Fortnite: 12 tip til dit første match En begynderguide til Fortnite: 12 tip til din første kamp
• Fortnite på Android: Hænder på med Samsung Galaxy S9 + Fortnite på Android: Hænder på med Samsung Galaxy S9 +
• Sådan låses Fortnites eksklusive Galaxy Skin op. Sådan låses Fortnite's Exclusive Galaxy Skin op

Sweeney har ret. Google havde mange grunde til at udvise mere fleksibilitet og tilbageholdenhed med at offentliggøre fejlen, hvis det virkelig havde været interesseret i brugernes sikkerhed. Lad os ikke glemme, at dette er en app, der distribueres uden for Google Play, hvilket betyder, at dens opdateringsproces muligvis ikke er så glat som andre apps, der er offentliggjort i Play Store. Da muligvis flere millioner af brugere allerede har installeret den, ventede et par uger til for at sikre, at alle har opdateret appen, ville ikke have skadet.

Googles hast med at afsløre bugshints om ydermotiver, hvor det mest åbenlyse er at hævne Epic Games for at omgå sin Play-butik. Selvom der ikke er meget, hvad Google kan gøre for at tvinge Epic til at ændre Fortnites distributionsmodel, sender dens straf for virksomheden en meddelelse til enhver udvikler, der har tanker om at omgå Google Play, hvor brugerne bruger anslagsvis $ 20, 1 milliarder hvert år.

Både Google og Epic Games er fyldt med kontanter, men i deres kampkamp for at hente mere overskud ud af deres software og platform skader de brugerne, de hævder at tjene.