זהירות: פרצה חמורה בקובץ ההתקנה של פורטנייט לאנדרואיד

קובץ ההתקנה של המשחק המגה-פופולרי פורטנייט לאנדרואיד נמצא מכיל באג המכונה Man-in-the-Disk, ושמשפיע לרעה על מכשירי Samsung Galaxy. למרבית המבוכה עבור המפתחת, Epic Games, חושפת הפרצה היא גוגל עצמה, שדיווחה ל-Epic על הממצא שלה כבר לפני כשבועיים.

הענקית ממאונטיין וויו חשפה נקודת תורפה ב-Fortnite Mobile APK שמאפשרת ליישום זדוני מותקן מראש לנצל את קובץ התקנת המשחק בכדי להתיישב במכשירי ה-Galaxy. הפגיעות כבר תוקנה על ידי Epic בגרסה האחרונה של תוכנת ההתקנה, אבל בכל זאת מדובר בסיטואציה לא נעימה עבור החברה, שבחרה לשווק את המשחק שלה עצמאית לאנדרואידים. לפי דיווחים, הבאג כנראה פגע במכשירים במשך שבועות, או לפחות עד שבעליהם עדכנו גרסה.

פורטנייט, משחק וידיאו מצויר שיצא ביולי בשנה שעברה, מציע אקשן של יריות ובנייה. במשחק שתי אפשרויות: באטל רויאל (Battle Royale) והצלת העולם (Save The World). בזמן האחרון הוא מסתמן כלהיט עולמי שכולם מדברים עליו ומשחקים בו.

עד לפני כחודש היה פורטנייט זמין לשימוש רק במכשירי iPhone, אבל עכשיו, לאחר המתנה ארוכה ודרישה משמעותית מצד הקהל, הוא הגיע סופסוף גם למכשירים מבוססי אנדרואיד. ולא סתם הגיע – בתחילת אוגוסט התבשר העולם כי Epic Games החליטה שגרסת האנדרואיד של המשחק, שיצאה זמן מה לאחר מכן, לא תהיה זמינה ב-Google Play. במקום זאת, החברה אפשרה להתקין את המשחק בחינם מאתר האינטרנט שלה.

ההחלטה הייתה ללא ספק נועזת, בהתחשב בהחזקתה האיתנה של Google Play בכל הקשור בהפצת אפליקציות לאנדרואיד, ומנגד – בהתחשב בפופולריות של פורטנייט מבית Epic, שלמעשה מרדה בגוגל ובהגמוניה שלה. לכן, חשיפת הבאג דווקא על ידי גוגל כה מביכה.

מודים על החשיפה אבל מבקרים את הביצוע

טים סוויני, מנכ"ל Epic Games, הודה לגוגל על גילוי הבאג, אך בכל זאת בחר לבקר אותה על התנהלותה בכל הנוגע בחשיפה. בהצהרה לתקשורת הוא כתב: "Epic באמת מעריכה את המאמץ של גוגל לבצע ביקורת אבטחה מעמיקה של פורטנייט מיד לאחר השחרור שלנו לאנדרואיד, ועל השיתוף של התוצאות עם Epic בכדי שנוכל במהירות לפרסם עדכון לתיקון הפגם שהם גילו. עם זאת, היה זה חסר אחריות מצד גוגל לחשוף בפומבי את הפרטים הטכניים של הפגם במהירות כה רבה, וכשמתקינים רבים עדיין לא עודכנו ועדיין היו פגיעים".

לדברי המנכ"ל, עקב לחץ ישיר מצדו, מהנדס אבטחה מטעם החברה ביקש מגוגל לעכב את הפרסום של גילוי הבאג למשך 90 יום, כנהוג, בכדי לאפשר זמן להתקנה רחבה יותר של העדכון, אך ענקית הטכנולוגיה סירבה לעשות כן וחשפה את הפרטים כבר לאחר שבוע.

סוויני הוסיף והאשים את גוגל שניצלה את האירוע לצורך מסע יחסי ציבור שלה מול החברה שלו והמשחק הפופולרי שפיתחה. הוא כתב כי "מאמצי ניתוח האבטחה של גוגל מוערכים ומועילים לפלטפורמת האנדרואיד, אולם חברה בעלת עוצמה רבה כמו גוגל צריכה לתרגל תזמון גילוי אחראי יותר מזה, ולא לסכן משתמשים במהלך מאמצי יח"צנות שלה נגד הפצת פורטנייט בפורטל של Epic ומחוץ ל-Google Play".