Zasca épico de Google a Epic Games al encontrar un fallo de seguridad en el instalador de Fortnite
La decisión de Epic Games de distribuir Fornite fuera de Play Store para ahorrarse la comisión del 30 por ciento que se lleva Google en cada pago ha sido ampliamente criticada por numerosos medios a los que nosotros también nos sumamos.
Dado que la instalación inicial del juego y las actualizaciones son gestionadas por Epic Games, en lugar de por Google vía la Play Store, Epic Games debe ser especialmente cuidadoso con la seguridad de su instalador para evitar que pueda ser utilizado para introducir malware… pero no lo ha sido.
En uno de los mejores zascas del año, Google ha descubierto un fallo de seguridad en el instalador de Fortnite que nunca se hubiera producido si el juego se distribuyese en Play Store.
La semana pasada, un ingeniero de Google hizo una publicación en Issue Tracker explicando una vulnerabilidad descubierta en la aplicación de instalación de Fornite.
Cuando la aplicación de instalación descarga el juego APK real, comprueba la firma para asegurarse de que el archivo no ha sido manipulado. Sin embargo, el instalador no comprueba la integridad del APK antes de que comience el proceso de instalación, sólo el nombre del paquete.
El ingeniero señaló que una aplicación maliciosa con el permiso WRITE_EXTERNAL_STORAGE podría reemplazar al APK de Fortnite inmediatamente después de completar el proceso de descarga, pero antes de que el usuario acepte realmente la instalación.
En los dispositivos Samsung, el instalador de Fortnite realiza la instalación del APK silenciosamente a través de una API privada de Galaxy Apps. Esta API comprueba que el APK que se está instalando tiene el nombre de paquete com.epicgames.fortnite. En consecuencia, un APK falso con un nombre de paquete coincidente podría instalarse silenciosamente.
Si el APK falso tiene una targetSdkVersion de 22 o inferior, se le concederán todos los permisos que solicite en el momento de la instalación. Esta vulnerabilidad permite que una aplicación en el dispositivo se apodere del instalador de Fortnite para instalar un APK falso con cualquier permiso que normalmente requeriría el conocimiento del usuario.
Epic Games pidió originalmente a Google que esperara 90 días antes de publicar la vulnerabilidad, como es práctica habitual (para que los «hackers» no puedan desarrollar aplicaciones maliciosas que aprovechen la vulnerabilidad antes de que se corrija el fallo).
En lugar de esperar 90 días, Google ha hecho la página pública tan sólo una semana después «en línea con las prácticas de divulgación estándar de Google».
A Epic Games no le ha hecho ninguna gracia que Google haya publicad tan rápido el fallo de seguridad, y así lo ha revelado su CEO a Android Central:
Epic realmente aprecia el esfuerzo de Google por realizar una auditoría de seguridad en profundidad de Fortnite inmediatamente después de nuestra publicación en Android, y compartir los resultados con Epic para que pudiéramos publicar rápidamente una actualización que corrigiera el fallo que descubrieron.
Sin embargo, fue irresponsable por parte de Google divulgar públicamente los detalles técnicos del defecto tan rápidamente, mientras que muchas instalaciones aún no habían sido actualizadas y seguían siendo vulnerables.
Un ingeniero de seguridad de Epic, a instancias mías, solicitó a Google que retrasara la divulgación pública durante los típicos 90 días para permitir que la actualización se instalara más ampliamente. Google se negó. Puedes leerlo todo en https://issuetracker.google.com/issues/112630336
Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android, sin embargo, una compañía tan poderosa como Google debería practicar un tiempo de revelación más responsable que este, y no poner en peligro a los usuarios por sus esfuerzos mediáticos en contra de la distribución de Fortnite por parte de Epic fuera de Google Play.
En esta ocasión, Epic Games ha sido rápido corrigiendo el problema ya que un empleado de Epic respondió al informe inicial sólo siete minutos después de que se publicara, y al día siguiente empezó a llegar la solución a los usuarios.
Ahora bien, este fallo nunca habría ocurrido si Fortnite se distribuyera a través de Play Store ya que esas validaciones se realizan por defecto. Tampoco sabemos si el fallo podría haber sido descubierto por alguien con malas intenciones — en lugar de por los ingenieros de Google — y ahora estaríamos lamentando un problema más grave.