Google maakte een kwetsbaarheid bekend in Fortnite van Epic Games, ook al had Epic gevraagd dat het bedrijf daar 90 dagen mee wachtte nadat de patch werd uitgegeven. Google voert een hard discolsure-beleid en kwam een week na de bijgewerkte versie met het nieuws naar buiten. De timing roept de vraag op of dit een wraakactie van Google, omdat Epic weigerde de Android-app in Google Play uit te brengen.

Epic-CEO Tim Sweeney uitte zijn onvrede op Twitter:

Google's harde disclosure-beleid is breed uitgemeten in de tech-media. Onder meer Microsoft heeft het regelmatig aan de stok met het bedrijf wegens het onthullen van zerodays voordat een patch beschikbaar is. Een kwetsbaarheid in een populaire applicatie als Fortnite is voor de Android-maker een extra reden om hier snel transparant over te zijn.

Wat het issue wat gevoeliger maakt, is dat Epic weigerde om zijn populaire game in Android-appwinkel Google Play te zetten, schijnbaar wegens de 'belasting' van Google die dertig procent vraagt voor distributie op zijn platform.

Dat dwingt gebruikers ertoe om Fortnite buiten Google om te downloaden. Beveiligingsdeskundigen waarschuwen daartegen, omdat gebruikers dan beveiligingsmechanismen van Android zelf omzeilen en niet altijd de instelling om onbekende bronnen uit te schakelen weer terugzetten. Dat maakt hun toestellen kwetsbaar voor malafide APK's.

Hierna: Epic omzeilt de officiële app-store en Google startte direct een audit.

Epic Games stelde zijn Android-versie van de game beschikbaar op zijn eigen site. Gebruikers moeten daarom de optie Onbekende bronnen in de beveiligingsinstellingen van Android inschakelen, zodat de third party-app te installeren is. Google startte daarop meteen een audit en een Google-onderzoeker ontdekte een man-in-the-disk-kwetsbaarheid.

Installer gekaapt

De installer bevatte niet de daadwerkelijke game. Die werd dan pas later geïnstalleerd op de externe opslagruimte. Dat betekent alleen dat andere apps de Fortnite-installer konden kapen en stiekem andere malafide apps met volledige toegangsrechten te installeren zonder dat gebruikers dat zouden bemerken.

Een week na de release van de Android-installer waarschuwde een Google-ontwikkelaar voor dit gevaar in een bugrapport. "De Fortnite APK (com.epicgames.fortnite) wordt gedownload door de Fortnite Installer (com.epigames.portal) naar de externe opslag. Elke app met de machtiging WRITE_EXTERNAL_STORAGE kan de APK direct vervangen nadat de download voltooid en geverifieerd is. De Fortnite Installer installeert vervolgens de vervangende nep-APK."

90 dagen

Een malafide app die deze kaping uitvoert kan een app installeren met volledige machtigingen zonder dat de gebruiker deze rechten goedkeurt. Google voegde ook een proof-of-conecpt schermopname toe (mp4). Ook maakte het rapport (van 15 augustus) melding van een 90 dagen-periode om het gat te patchen, waarna het rapport zichtbaar zou worden voor het publiek.

Op de laatste pagina: ruzie om de timing.

Epic Games bleef niet op z'n gat zitten en repareerde deze kwetsbaarheid in rap tempo. De melding werd gemaakt op 15 augustus en op 16 augustus volgde een patch. Epic vroeg Google om de volledige 90 dagen voor onthulling, zodat gebruikers de tijd zouden hebben om hun apparaten te patchen.

Google gaf de makers een week nadat de patch verscheen. Hierdoor zien sommige mensen het voorbarig onthullen als een wraakactie voor het omzeilen van Google's app-winkel, waardoor Google flink wat omzet voor de razendpopulaire app misloopt. Google wijst erop dat de disclosure volgde nadat de fix verscheen, zoals ook is vermeld in de bugtracker.

Welke partij je ook gelooft, beveiligingsdeskundigen waarschuwden al eerder dat gebruikers meer risico zouden lopen omdat Fortnite niet beschikbaar zou zijn in Google Play. Epic-CEO Sweeney zei tegen Android Central dat het gamebedrijf Google dankbaar was voor de melding, maar dat de vroege onthulling onverantwoord was. "Een bedrijf zo machtig als Google zou betere repsonsible disclosure-timing moeten hanteren en gebruikers niet in gebaar moeten brengen in een PR-strijd tegen Epic's distributie van Fortnite buiten Google Play om", aldus de CEO.

Sweeney voegde eraan toe dat Google had toegegeven Fornite-installaties op alle Android-apparaten te monitoren: