Google y Epic tienen la culpa del fiasco de seguridad de fortnite

La versión para Android de Fortnite se ha convertido en un campo de batalla entre Google y Epic Games, el editor del juego, y ambas partes acusan a la otra de comprometer la seguridad de los usuarios.

Lamentablemente, ambas compañías tienen razón. Pero mientras discuten sobre su respectivo recorte de los millones de dólares que genera el gran éxito de Epic, los jugadores pagan el precio.

Google tiene razón al criticar a Epic

La decisión de Epic de distribuir la versión para Android de Fortnite a través de su propio sitio web en lugar de Google Play molestó a Google y con razón.

Google toma un recorte del 30 por ciento de los ingresos de cada aplicación publicada en Google Play, y Epic Games no quería entregar lo que probablemente sería una buena parte del cambio para Google. El juego generó $ 1 mil millones en ingresos durante su primer año; en iOS, Fortnite generó $ 200 millones en sus primeros cinco meses.

En julio, Epic también redujo su participación en los ingresos de Unreal Engine Marketplace del 30 por ciento al 12 por ciento, y el CEO Tim Sweeney atribuyó el movimiento en parte al éxito de Fortnite. Esto ocurrió semanas antes de que Epic publicara la versión para Android de Fortnite, posiblemente para justificar su propia decisión de rechazar la tarifa de Google Play.

A muchos desarrolladores no les gusta esta tarifa, pero solo una empresa con el alcance y la reputación de Epic puede evitar la exposición que ofrece Google Play. (Apple cobra una tarifa idéntica en su App Store, pero iOS no ofrece ninguna opción para cargar aplicaciones fuera de la App Store).

La distribución automática de Fortnite para Android también brinda acceso épico a los usuarios en áreas como China, donde Google Play no está disponible, sin tener que implementar métodos de distribución separados. Pero, ¿los ingresos adicionales justifican la práctica insegura de publicar el juego fuera de Google Play?

Google Play no tiene fallas de seguridad, pero es el lugar más seguro para publicar una aplicación de Android. Se podría argumentar que, como editor de buena reputación y profesional, Epic se adheriría a las prácticas de codificación segura y ciertamente nunca infligiría intencionalmente código malicioso en sus aplicaciones. Pero siempre es necesario tener un segundo, tercer y quizás cuarto par de ojos profesionales que revisen y auditen su código y aplicación para detectar fallas de seguridad, como Google demostró más tarde cuando descubrió una falla con el instalador de Android Fortnite.

Lo que realmente hace que la decisión de Epic sea peligrosa es el hecho de que requiere que los usuarios cambien la seguridad predeterminada en sus teléfonos para permitir la instalación de aplicaciones de fuentes distintas a Google Play. Esto abre una caja de problemas de seguridad de Pandora y hace que los usuarios sean vulnerables a muchos tipos de Ataques ciberneticos . Por ejemplo, un esquema de phishing bien planificado podría atraer a los usuarios a un sitio web falso que instale una versión maliciosa de la aplicación desde una fuente distinta de los servidores de Epic Games.

Por lo tanto, la decisión de Epic de exponer a los usuarios a riesgos de seguridad en aras de recuperar una escasa porción de sus ingresos solo puede describirse como egoísta.

Epic tiene razón al criticar a Google

Como Epic no publicó Fortnite en Google Play, Google no tenía la obligación de revisarlo. Pero la compañía hizo todo lo posible para examinar la aplicación y, tal vez para deleite de Google, encontró una grave vulnerabilidad de hombre en el disco en la aplicación de instalación de Fortnite.

Esto significa que cuando el teléfono de un usuario ya tiene una aplicación maliciosa, puede secuestrar el proceso de instalación de Fortnite para instalar una versión del juego infectada con malware en lugar de la auténtica.

Los esfuerzos de Google son recomendable, ya que decenas de millones de usuarios jugarán el juego móvil en los próximos meses. Y Epic lanzó una actualización dentro de las 48 horas posteriores a la notificación del error.

Pero a pesar de la solicitud de Epic de que Google Espere 90 días antes de revelar el error, Google hizo público el hilo Issue Tracker siete días después de que Epic solucionó el error. "La seguridad del usuario es nuestra principal prioridad y, como parte de nuestro monitoreo proactivo para malware, identificamos una vulnerabilidad en el instalador de Fortnite", dijo Google en respuesta.

Pero el hecho de que reveló la vulnerabilidad tan pronto pone en tela de juicio esa "máxima prioridad". Al hacer público el hilo, el ingeniero de Google dijo la decisión conformado a su política de divulgación de vulnerabilidades, que establece: "Notificamos a los proveedores de las vulnerabilidades de inmediato, con detalles compartidos en público con la comunidad defensiva después de 90 días, o antes si el vendedor lanza una solución".

El CEO de Epic, Tim Sweeney, lo calificó como una medida irresponsable y acusó a Google de poner en peligro a los usuarios "en el curso de sus esfuerzos contrarias a las relaciones públicas contra la distribución de Fortnite por parte de Epic fuera de Google Play".

• Una guía para principiantes de Fortnite: 12 consejos para su primer partido Una guía para principiantes de Fortnite: 12 consejos para su primer partido
• Fortnite en Android: Manos a la obra con el Samsung Galaxy S9 + Fortnite en Android: Manos a la obra con el Samsung Galaxy S9 +
• Cómo desbloquear el skin exclusivo de Galaxy de Fortnite Cómo desbloquear el skin exclusivo de Galaxy de Fortnite

Sweeney tiene razón. Google tenía muchas razones para mostrar más flexibilidad y moderación en la publicación del error, si realmente se preocupaba por la seguridad de sus usuarios. No olvidemos que se trata de una aplicación que se distribuye fuera de Google Play, lo que significa que su proceso de actualización podría no ser tan fluido como otras aplicaciones que se publican en Play Store. Además, dado que posiblemente ya lo hayan instalado decenas de millones de usuarios, esperar algunas semanas más para asegurarse de que todos hayan actualizado la aplicación no habría resultado perjudicial.

La prisa de Google para revelar el error sugiere motivos ocultos, el más obvio es la venganza de Epic Games por eludir su Play store. Si bien no hay mucho que Google pueda hacer para obligar a Epic a cambiar el modelo de distribución de Fortnite, su castigo a la compañía envía un mensaje a cualquier desarrollador que albergue pensamientos de evitar Google Play, donde los usuarios gastan aproximadamente $ 20.1 mil millones cada año.

Tanto Google como Epic Games están llenos de efectivo, pero en su tira y afloja para extraer más ganancias de su software y plataforma, están perjudicando a los usuarios que dicen servir.