最近,谷歌的安全專家提前披露了《堡壘之夜》安卓漏洞,這引起了廠商Epic的非常不滿。下面一起來看看吧。
起始
該漏洞允許惡意用戶或應用程式劫持《堡壘之夜》下載進程,並將下載路由遠離Epic的伺服器以安裝完全不同的東西。這被稱為磁盤中的人(MitD)攻擊。Google沒有義務在Epic的安裝程式中查找漏洞。但可能是為了防止漏洞,不使安卓平台名聲受損。Google於8月15日上午7點在PT發現了該漏洞,並立即私下通知了Epic Games。
在7分鐘內,Epic承認了這一漏洞。10個小時後,Epic確認他們複製了這個漏洞並正在修複。第二天,8月16日太平洋時間下午4:12,Epic表示他們已經為玩家部署了一個修複程式。
泄露
補丁發布2小時後,Epic要求Google隱瞞漏洞利用的詳細資訊。該請求為期90天,以便玩家有足夠的時間來修補他們的設備。
令Epic感到沮喪的是,Google在將補丁部署到玩家後僅7天就開始宣傳此漏洞。而Google的錯誤披露指南明確規定,他們會在前90天內披露錯誤。
反映
正如所料,Epic Games對此決定不滿意。
Epic Games首席執行官兼虛幻引擎創始人Tim Sweeney向Mashable提供了以下聲明:
Epic真的很感謝Google在Android上發布後立即對Fortnite進行深入的安全審核,並與Epic分享結果,以便我們能夠快速發布更新來修複他們發現的漏洞。
然而,谷歌公開披露該漏洞的技術細節是不負責任的,而許多裝置尚未更新,仍然容易受到攻擊。
谷歌的安全分析工作受到讚賞並受益於Android平台,但像谷歌這樣強大的公司應該實施比這更負責任的披露時間,並且在反對公關在Google Play之外發布Fortnite的反公關努力中不會危及用戶。
谷歌方表示:用戶安全是我們的首要任務,作為我們主動監控惡意軟體的一部分,我們在Fortnite安裝程式中發現了一個漏洞。我們立即通知了Epic Games,他們解決了這個問題。
香港九龍灣馬來街興發大廈15樓D室