Fortnite, vulnerabilità nell'Installer per Android consentiva di installare malware

[Redazione di Hardware Upg]

Link alla notizia: https://gaming.hwupgrade.it/news/vid...are_77696.html

Nell'Installer originale di Fortnite per Android era presente una grave falla di sicurezza che avrebbe consentito ad un eventuale aggressore di installare qualsiasi APK sul terminale

Click sul link per visualizzare la notizia.

[Nurgiachi]

Serietà by Google:
Epic non ti paga l'obolo? Spiattella in tempo zero la falla mentre Epic sta distribuendo la patch e metti a rischio i tuoi stessi clienti Android.
La decenza imporrebbe di attendere 90 giorni cosa che si fa dall'alba dei tempi, persino con il caso dell'ultimo anno di meltdown e spectre è stata fatta. Ma Google è più interessata a sgambettare Epic e difendere i suoi interessi economici piuttosto che tutelare chi utilizza il suo OS.

[s0nnyd3marco]

Quote:

Originariamente inviato da Nurgiachi

Serietà by Google:
Epic non ti paga l'obolo? Spiattella in tempo zero la falla mentre Epic sta distribuendo la patch e metti a rischio i tuoi stessi clienti Android.
La decenza imporrebbe di attendere 90 giorni cosa che si fa dall'alba dei tempi, persino con il caso dell'ultimo anno di meltdown e spectre è stata fatta. Ma Google è più interessata a sgambettare Epic e difendere i suoi interessi economici piuttosto che tutelare chi utilizza il suo OS.

THIS

[calabar]

Quote:

Originariamente inviato da Nurgiachi;

Epic non ti paga l'obolo? Spiattella in tempo zero la falla mentre Epic sta distribuendo la patch e metti a rischio i tuoi stessi clienti Android.

L'articolo non chiarisce quali siano stati i tempi, solo che Epic si sia lamentata. Tu hai informazioni precise?
Per quel che si sa ora io non escluderei che i tempi siano quelli standard che google concede a chiunque.

Oltretutto sappiamo bene che annunciare la falla è in realtà un sistema che migliora la sicurezza, perchè consente all'utente di prendere provvedimenti (tra questi l'eliminazione dell'applicazione vulnerabile).
Certo, avrebbero per lo meno potuto evitare di diffondere i dettagli, se però la patch è già pronta e gli utenti stanno già aggiornando le loro installazioni non mi pare che ci sia questo grande rischio.

Ad ogni modo non mi pare sia un problema di "pagare l'obolo". Epyc ha voluto usare un installer proprio e Google, che ha una divisione che si occupa di queste cose, giustamente ha voluto controllarlo. Non mi sembra un complotto contro Epyc perchè non ha voluto utilizzare il Play Store.
Già mi immagino i commenti se qualcun altro l'avesse scoperto, tutti a dare contro a Google perchè non fa controlli di sicurezza.

Quote:

Originariamente inviato da Nurgiachi;

persino con il caso dell'ultimo anno di meltdown e spectre è stata fatta.

Persino? Si tratta di un caso di portata ampissima e di estrema gravità, quindi a maggior ragione vengono prese precauzioni. In questo caso poi l'attesa è stata ben più lunga dei 90 giorni che citi.

[Nurgiachi]

Quote:

Originariamente inviato da calabar

L'articolo non chiarisce quali siano stati i tempi, solo che Epic si sia lamentata. Tu hai informazioni precise?
Per quel che si sa ora io non escluderei che i tempi siano quelli standard che google concede a chiunque.
Oltretutto sappiamo bene che annunciare la falla è in realtà un sistema che migliora la sicurezza, perchè consente all'utente di prendere provvedimenti (tra questi l'eliminazione dell'applicazione vulnerabile).
Certo, avrebbero per lo meno potuto evitare di diffondere i dettagli, se però la patch è già pronta e gli utenti stanno già aggiornando le loro installazioni non mi pare che ci sia questo grande rischio.
Ad ogni modo non mi pare sia un problema di "pagare l'obolo". Epyc ha voluto usare un installer proprio e Google, che ha una divisione che si occupa di queste cose, giustamente ha voluto controllarlo. Non mi sembra un complotto contro Epyc perchè non ha voluto utilizzare il Play Store.
Già mi immagino i commenti se qualcun altro l'avesse scoperto, tutti a dare contro a Google perchè non fa controlli di sicurezza.
Persino? Si tratta di un caso di portata ampissima e di estrema gravità, quindi a maggior ragione vengono prese precauzioni. In questo caso poi l'attesa è stata ben più lunga dei 90 giorni che citi.

Stai deliberatamente annacquando il dibattito sollevando interrogativi senza esserti informato su nulla. Visto che il giochetto è vecchio come il cucco e mira solo a rilanciare l'argomento sino a quando uno dei due si stanca stringerò su fatti e conclusione.
- l'installer è stato rilasciato un paio di settimane fa e non 3 mesi fa
- Google ha dichiarato che il suo ricercatore ha scoperto la falla il 15 agosto
- poche ore dopo, durante il 0-day, Epic ha rilasciato la patch
- 7 giorni dopo la distribuzione della patch, seguendo la sua politica di diffusione delle informazioni, Google ha reso pubblica e nei dettagli la cosa
Sarebbe tutto ok se non fosse che, la zelante Google, in più occasioni ha disatteso la sua politica vedi l'exploit Stagefright che la colpì direttamente nel 2015. E quale sarà stato mai il motivo se non la shit storm contro Epic? La sicurezza?
La sicurezza l'avrebbe garantita comunque non diffondendo nel dettaglio la falla e lasciando qualche giorno in più a disposizione di EPIC per metter al sicuro quanti più dispositivi possibili.

Personalmente di Fortnite mi frega poco quanto nulla e su Android meno che meno, posso però ritenermi tranquillamente disgustato dalla presa di posizione di Google che ha messo una ripicca d'inanzi all'insicurezza del suo OS.

[calabar]

@Nurgiachi
lol? Annacquando il dibattito? Deliberatamente poi? machestaiadi'!
Io sto commentando l'articolo, se hai altre informazioni (e vedo che le hai) perchè non le hai condivise subito? Il tuo post sembrava una semplice sparata "io odio google", così com'era.

Però non ho ben capito una cosa. Tu stesso dici che Google ha seguito la sua politica di diffusione delle informazioni come fa con tutti gli altri, quindi perchè parli di "shitstorm" contro Epyc? Se sta applicando a tutti la stessa misura (esclusi magari casi eccezionali come quello di Spectre e Meltdown) non sta facendo l'esatto contrario del prendere di mira qualcuno, con l'accusa poi di averlo fatto perchè questo qualcuno ha deciso di non passare per il Play Store?
O mi sono perso qualcosa?

[OttoVon]

Se la patch è uscita lo stesso giorno della scoperta dell'exploit non c'era necessità di pubblicarla, nei dettagli, neanche 3 mesi dopo.

Hanno fatto l'infamata, un atteggiamento indifendibile.

Quote:

. Tu stesso dici che Google ha seguito la sua politica di diffusione delle informazioni

No, lui ha scritto che fregandosene delle possibili ripercussioni per gli utenti android, Google non ha perso occasione per danneggiare qualcuno che non ha voluto far passare la sua app dallo store.

Quote:

Certo, avrebbero per lo meno potuto evitare di diffondere i dettagli, se però la patch è già pronta... NON V'È MOTIVO PER PUBBLICARLA.

Ad ogni modo non mi pare sia un problema di "pagare l'obolo". Epyc ha voluto usare un installer proprio e Google, che ha una divisione che si occupa di queste cose, giustamente ha voluto controllarlo. Non mi sembra un complotto contro Epyc perchè non ha voluto utilizzare il Play Store.

Giustamente sullo store TUTTE le app vengono controllate, sono così rari i casi di malware smerciati tramite il loro store... La tua analisi sembra forzatamente ingenua, ma tu lo saprai già.

[calabar]

Quote:

Originariamente inviato da OttoVon;

Se la patch è uscita lo stesso giorno della scoperta dell'exploit non c'era necessità di pubblicarla, nei dettagli, neanche 3 mesi dopo.

Al contrario, pubblicarla permette di rendere noto il problema ed evitare a chiunque (non solo Epic può incorrere in problematiche di questo tipo) di ricadere nello stesso errore.

L'unico aspetto un po' dubbio è l'aver pubblicato i dettagli quando ancora tutte le installazioni non erano state patchate, avrebbero potuto aspettare qualche giorno (visto che comunque la reazione di Epyc mi pare sia stata repentina) e non ci sarebbe stata nessuna polemica.

A me pare che si stia montando un caso sul (quasi) nulla: come in altre occasioni google ha reso note le vulnerabilità con tempistiche che non hanno fatto piacere ai creatori del software, solo che siccome stavolta Epyc ha voluto evitare il Play Store, allora deve essere una punizione di google nei loro confronti. A me pare una logica un po' forzata.

Quote:

Originariamente inviato da OttoVon;

Giustamente sullo store TUTTE le app vengono controllate, sono così rari i casi di malware smerciati tramite il loro store... La tua analisi sembra forzatamente ingenua, ma tu lo saprai già.

E la tua analisi pare forzatamente tendenziosa, e credo che anche tu lo sappia bene.
È ben noto che nell'enorme massa di applicazioni presenti sullo store c'è sempre chi riesce ad aggirare i controlli, ma non vedo come questo possa avere a che fare con le scelte di google in questo caso.