Epic游戏公司决定通过其网站而不是通过GooglePlay应用商店发布Android版的《堡垒之夜》,避开其30%的应用抽成。近日,谷歌的安全专家近日披露《堡垒之夜》安卓版版安装器出现重大漏洞,攻击者随时可替换并且进行Man-in-The-Disk攻击。谷歌的专家为Epic留了一周时间发布修复补丁,披露了这一安全漏洞的细节。
谷歌工程师表示,安装程序只会对文件名进行匹配检测,并不会检测其它细节,这导致攻击者如果进行替换后,用户将会下载加入病毒或者仿冒的安装包。尽管Epic的团队成功地在漏洞披露之前发布了补丁,而谷歌也为其留了一个星期,Epic 公司的CEO Tim Sweeney仍然指责谷歌的披露时机不负责任,并且借此机会暗示谷歌是在报复Epic绕开GooglePlay商店发行游戏的做法。
Tim Sweeney向外媒Mashable发送了其声明:
Epic真诚地感谢谷歌对《堡垒之夜》安全性深度审查的努力,在我们游戏安卓版释出之后立刻向Epic分享了他们发现安全威胁的检测结果,让我们能够迅速地发布一个修复更新。
然而,谷歌如此迅速地公开披露这一漏洞的技术细节是不负责任的,许多安装游戏的用户仍未更新,仍然具有威胁。在我的敦促下,一位Epic安全专家要求谷歌推迟公开披露此漏洞细节,希望给予我们业界标准的90天,以便让更多用户拥有时间安装更新。但是谷歌拒绝了这一请求。
谷歌对于信息安全的分析努力值得感激,并且有利于整个安卓平台发展,但是强大的谷歌应该遵守更有原则的披露时机,而不是危及我们的用户,这可能被视为我们绕开Google Play发行游戏的公关回应。