谷歌披露《堡垒之夜》安卓漏洞引Epic不满:不该这么做

作者:丶阿难 更新于:2020-03-09 08:00:57 2

   最近,谷歌的安全专家提前披露了《堡垒之夜》安卓漏洞,这引起了厂商Epic的非常不满。下面一起来看看吧。

   起始

幻想游戏网hxyou.cn

   该漏洞允许恶意用户或应用程序劫持《堡垒之夜》下载进程,并将下载路由远离Epic的服务器以安装完全不同的东西。这被称为磁盘中的人(MitD)攻击。Google没有义务在Epic的安装程序中查找漏洞。但可能是为了防止漏洞,不使安卓平台名声受损。Google于8月15日上午7点在PT发现了该漏洞,并立即私下通知了Epic Games。

   在7分钟内,Epic承认了这一漏洞。10个小时后,Epic确认他们复制了这个漏洞并正在修复。第二天,8月16日太平洋时间下午4:12,Epic表示他们已经为玩家部署了一个修复程序。

   泄露

幻想游戏网hxyou.cn

   补丁发布2小时后,Epic要求Google隐瞒漏洞利用的详细信息。该请求为期90天,以便玩家有足够的时间来修补他们的设备。

   令Epic感到沮丧的是,Google在将补丁部署到玩家后仅7天就开始宣传此漏洞。而Google的错误披露指南明确规定,他们会在前90天内披露错误。

   反映

幻想游戏网hxyou.cn

   正如所料,Epic Games对此决定不满意。

   Epic Games首席执行官兼虚幻引擎创始人Tim Sweeney向Mashable提供了以下声明:

   Epic真的很感谢Google在Android上发布后立即对Fortnite进行深入的安全审核,并与Epic分享结果,以便我们能够快速发布更新来修复他们发现的漏洞。

   然而,谷歌公开披露该漏洞的技术细节是不负责任的,而许多装置尚未更新,仍然容易受到攻击。

   谷歌的安全分析工作受到赞赏并受益于Android平台,但像谷歌这样强大的公司应该实施比这更负责任的披露时间,并且在反对公关在Google Play之外发布Fortnite的反公关努力中不会危及用户。

   谷歌方表示:用户安全是我们的首要任务,作为我们主动监控恶意软件的一部分,我们在Fortnite安装程序中发现了一个漏洞。我们立即通知了Epic Games,他们解决了这个问题。

评论