Falha muito grave encontrada no Instalador do Fortnite para Android

Fortnite

O lançamento do Fortnite para Android, da Epic Games, que ocorreu aquando da chegada ao mercado do Galaxy Note 9 levantou algumas preocupações, já que os responsáveis pelo seu desenvolvimento optaram por não utilizar a Google Play Store para o lançamento. Em vez disso, a Epic criou o seu próprio instalador para o jogo que poderia ser descarregado a partir de uma página criada para esse efeito. Agora, foi revelado que a primeira versão desse instalador tinha um grande problema de segurança.

A Google descobriu a 15 de agosto que o instalador do Fortnite para Android tinha uma vulnerabilidade que, se explorada, poderia permitir que ele passasse a ser controlado por utilizadores mal intencionados. Esse problema poderia permitir o download de aplicações maliciosas para um telefone Android sem que o proprietário se apercebesse. Para que isto acontecesse o telefone já teria de ter uma aplicação mal-intencionada com a permissão WRITE_EXTERNAL_STORAGE.

Depois da Google ter informado a Epic Games acerca deste problema, o programador rapidamente tomou medidas para corrigir o problema. Assim, lançou uma nova versão (2.1.0) do instalador menos de dois dias do lançamento. Até agora, não se sabe se algum criminoso se aproveitou dessa falha de segurança na altura em que o primeiro instalador foi disponibilizado pela Epic.

A Epic Games também pediu que a Google não revelasse publicamente este problema com o primeiro instalador do Fortnite durante 90 dias, o que é o standard para a divulgação de relatórios de bugs normais. No entanto, a falha no primeiro instalador do Fortnite foi considerada uma vulnerabilidade zero-day, de acordo com as políticas de segurança da Google. Assim, a empresa decidiu revelar publicamente o problema sete dias depois.

Isto não deixou o presidente da Epic Games, Tim Sweeney, satisfeito. Num comunicado enviado ao site Android Central, Sweeney afirmou que, apesar da Epic agradecer à Google o facto de ter feito uma verificação de segurança no instalador e ter informado o programador acerca da falha, a empresa queria que o Google esperasse pelo período mais longo de 90 dias para revelar o problema. A ideia era dar tempo para que a atualização fosse mais amplamente instalada ”.

Tudo isto parece justificar as preocupações que muitas pessoas tinham acerca da decisão da Epic de contornar a Google Play Store para o lançamento do Fortnite no Android. A Epic Games fez esta jogada, em parte, para evitar o pagamento de 30% da receita gerada pelo jogo à Google caso ele fosse distribuída pela Play Store.