Epic不滿Google對《要塞英雄》Android漏洞的嚴重披露

《要塞英雄》廠商Epic表示遊戲Android版不用Google商店,Google警告Epic,這會讓玩家面臨風險,最近Google在Epic安裝程序中發現了一個漏洞。

Epic不滿Google對《要塞英雄》Android漏洞的嚴重披露

・起始

該漏洞允許惡意用戶或應用程序劫持《要塞英雄》下載進程,並將下載路由遠離Epic的伺服器以安裝完全不同的東西。這被稱為磁碟中的人(MitD)攻擊。Google沒有義務在Epic的安裝程序中查找漏洞。但可能是為了防止漏洞,不使Android平台名聲受損。Google於8月15日上午7點在PT發現了該漏洞,並立即私下通知了Epic Games。

在7分鐘內,Epic承認了這一漏洞。10個小時後,Epic確認他們複製了這個漏洞並正在修復。第二天,8月16日太平洋時間下午4:12,Epic表示他們已經為玩家部署了一個修復程序。

・泄露

修正檔發佈2小時後,Epic要求Google隱瞞漏洞利用的詳細信息。該請求為期90天,以便玩家有足夠的時間來修補他們的設備。

令Epic感到沮喪的是,Google在將修正檔部署到玩家後僅7天就開始宣傳此漏洞。而Google的錯誤披露指南明確規定,他們會在前90天內披露錯誤。

Epic不滿Google對《要塞英雄》Android漏洞的嚴重披露

・反映

正如所料,Epic Games對此決定不滿意。Epic Games首席執行官兼虛幻引擎創始人Tim Sweeney向Mashable提供了以下聲明:

Epic真的很感謝Google在Android上發佈後立即對Fortnite進行深入的安全審核,並與Epic分享結果,以便我們能夠快速發佈更新來修復他們發現的漏洞。

然而,Google公開披露該漏洞的技術細節是不負責任的,而許多裝置尚未更新,仍然容易受到攻擊。

Epic不滿Google對《要塞英雄》Android漏洞的嚴重披露

Google的安全分析工作受到讚賞並受益於Android平台,但像Google這樣強大的公司應該實施比這更負責任的披露時間,並且在反對公關在Google Play之外發佈Fortnite的反公關努力中不會危及用戶。

Google方表示:用戶安全是我們的首要任務,作為我們主動監控惡意軟體的一部分,我們在Fortnite安裝程序中發現了一個漏洞。我們立即通知了Epic Games,他們解決了這個問題。

來源:遊星空