Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsFortnite Android: Google entdeckt Schwachstelle im Installer
Ende Juli kamen erste Hinweise auf, dass Epic die Android-Variante von Fortnite nicht über den Play Store von Google veröffentlichen wird. Dies wurde auch schnell vom Studio bestätigt. Als Grund wurde die zu hohe Provision seitens Google genannt. Jetzt wurde jedoch eine schwere Lücke im Fortnite-Installer gefunden.
Stellt sich nur die Frage, ob der Mitarbeiter das aus Neugierde oder Langeweile gemacht hat, oder ob da gezielt nach Sicherheitslücken gesucht wurde, um negative publicity zu erzeugen.
Ich tippe mal auf Letzteres.
Wobei man übrigens sagen muss, dass Epic Games sich lächerlich macht, weil die mit Händen und Füßen versuchen die gerooteten Geräte auszusperren. Wird wohl ähnlich erfolglos wie bei Pokémon GO laufen. Insofern: kein Mitleid.
Die Tatsache, dass es jemand Großes ohne play store versucht, finde ich jedoch gut. Dann merken die Leute nämlich auch mal, dass es im Prinzip auch ohne play store geht. Auch wenn der Grund leider nur monetäre Gründe hat.
Epic umgeht den PlayStore, worüber google nicht erfreut gewesen sein dürfte und jetzt melden Sie eine Sicherheitslücken im Fortnite-Installer.
Ist das ein billiger Versuch, durch öffentlichen Druck, Epic zum Umdenken zu bewegen?
Das Sicherheitsproblem ist binnen Tagen beseitigt worden, nur um das hier nochmal herauszustellen.
Also ab in den Gulli mit der Geschichte.
Der entscheidende Fehler der Entwickler war, die APK auf den externen Speicher zu downloaden, da dort jede App mit der Berechtigung auf den Speicher zu schreiben, Zugriffe hat und somit die APK nach dem Download ausgetauscht werden kann.
Der Fix von Epic Games scheint nun auch darin zu liegen, den privaten Storage des Installers zu nutzen. Kann sein, dass kleinere Geräte hierbei Platzprobleme bekommen, da dieser idR im internen Speicher liegt (falls der Nutzer eine SD-Karte einsetzt).
Grundsätzlich muss man bei der Diskussion auch berücksichtigen, dass der PlayStore ein Service ist, der auch Google Geld kostet. Weltweite Downloadserver (mit APK und Expansions Größe für bis zu 2GB pro App), Alpha- und Beta Kanälen, Auswertungstools etc. Ich finds unsinnig und echt von Epic Games diesen eigenen Weg zu gehen. Die verdienen sich aktuell eh dumm und dämlich und für die Nutzer wirds immer undurchsichtiger.
Edelhamster schrieb:
Ist das ein billiger Versuch, durch öffentlichen Druck, Epic zum Umdenken zu bewegen?
Das Sicherheitsproblem ist binnen Tagen beseitigt worden, nur um das hier nochmal herauszustellen.
Ja und? Epic hat diesen (aus meiner Sicht als Android-Entwickler) fahrlässigen Fehler selbst zu verantworten. Müssen die halt bessere QA betreiben, dann kann ihnen auch niemand an den Karren pissen. Und die Veröffentlichung der Sicherheitslücke ist eine Standardprozedur...
Die hätten vorher wirklich auf Nummer sicher gehen sollen. Ist doch jedem klar, dass Google sich nicht freut und alles versucht um die Lösung schlecht dastehen zu lassen
Sicherheit (der User) steht für Epic halt nicht an erster Stelle, sondern der Profit, wie sehr deutlich kommuniziert wurde. Jetzt leider auch keine Überraschung.
Naja, Epic muss sich darüber bewusst sein, dass hier von vielen Seiten genau geschaut wird. Und ein fähiger Entwickler hätte den Fehler erkannt oder ihn erst gar nicht gemacht. Und wenn Epic in der Hinsicht Google solch einen Elfmeter schenkt...
Also schön langsam macht sich Google hier echt lächerlich. Wenn ich auf dem Zielgerät schon eine App mit Zugriff auf das Dateisystem habe warum will ich dann noch manipulierte apks unterschieben?
Und klar ist das Google ein Dorn im Auge. Hier geht es nicht um ein paar Provisionen, sondern um die Existenz der gesamten Plattform wenn auf einmal alle anderen großen nachziehen.
Also schön langsam macht sich Google hier echt lächerlich. [...] Wenn ich auf dem Zielgerät schon eine App mit Zugriff auf das Dateisystem habe warum will ich dann noch manipulierte apks unterschieben?
Praktisch jede App hat Zugriff auf den externen Speicher. Musikapps, Dateimanager, Bildergalerien und sämtliche Cleanup Tools usw. Ist neben Internetzugriff die häufigste Zugriffsberechtigung von Apps... Zumal es darum geht dass die manipulierte APK konkret nach der Installation mittels Galaxy Store alle Zugriffsrechte hat die Fortnite einfordert.
Offensichtlich hast du keinerlei Ahnung und willst einzig ein bisschen Google bashen.
Edit: Glaube es macht aber auch wenig Sinn aus Entwicklersicht in einem Forum wie CB zu diskutieren. Hier wissen es alle besser und am Ende gehts einfach wieder nur darum Pro Epic oder Anti-Google zu kommentieren.
Als wenn nur diese app jetzt ein sicherheitsrisiko wäre , lächerlich.
Ich würde mal sagen das locker 85% aller apps schnüffeln, fotos der freundin sonstwo hochladen usw...
Dann aber so tun als wenns nur fortnite ist , die haben wahrscheinlich nicht zahlen wollen um im club der schnüffler dabei sein zu dürfen sondern wollen eher exclusiv schnüffeln.
Als ob 99% der Anwender einen Plan haben was die Rechte angeht. Da word einfach blind auf zulassen gedrückt besonders wenn man jedes Mal damit genervt wird und die App sonst nicht funktioniert. Wenn es einem Angreifer gelingt Schadcode auf dem Zielsystem auszuführen hat er sein Ziel erreicht.
Die eigentliche Sicherheitslücke ist dass bei viele Android Geräten es keine "nur diese Installation zulassen" Option gibt und der Schutz dann komplett deaktiviert wird. Das kann man aber kaum den Fortnite Entwicklern vorwerfern.
Ehrlich gesagt sehe ich die Fortnite Entwickler hier voll im Recht. Wieso sollten die 30% der Umsätze hergeben ohne nennenswerte Gegenleistung? Ich verstehe grundsätzlich nicht warum das so viele Softwarefirmen mit sich machen lassen.
Gehört es nicht zum guten Ton, den Entwicklern etwas Zeit zu geben, bevor Sicherheitslücken öffentlich werden?
Hier ist es nur ein Grabenkampf zwischen Google, die Nachahmer verhindern wollen, und Epic, die knapp 30% mehr Umsatz erzielen wollen.
Sicherheit (der User) steht für Epic halt nicht an erster Stelle, sondern der Profit, wie sehr deutlich kommuniziert wurde. Jetzt leider auch keine Überraschung.
Ja echt ey, Googles lückenlose Übertragung des Standorts war auch nur ein Fehler hat und auf keinen Fall was mit Kohle zu tun. Das war nur zu deiner Sicherheit. Nicht das noch mehr Schäfchen das güldene Konzentrationslager namens Store verlassen.
@andr_gin:
Wenn das Installieren von fremden Quellen in den Einstellungen deaktiviert ist, hast Du doch die gewünschte Einstellung
@estros
Die Lücke wurde doch geschlossen. Zudem geht Google so weit ich weiß bei allen gefundenen Lücken so vor. In meinen Augen nicht unverkehrt, den sonst würden sich manche Entwickler viel zu lange Zeit lassen...
Ob Google seine selbst vorgegebenen 90 Tage eingehalten hat, kommt darauf an, wann sie Zugriff auf den Installer hatten. Die Ankündigung Epics dazu stammt von Ende Mai.
Klar, vor allem weil Fortnite wohl nur von 5 Leuten auf Android verwendet wird hat Google auch nur 5 Leuten einen Gefallen getan.
Bei so einem weit verbreitetem Spiel sowie der Art wie Epic die Updates installieren möchte hätte ich da seitens Google auch geprüft - sonst haben sie selbst wegen dem so unsicherem Android negative Presse...
@DeusoftheWired
Oh, das verstehst du aber völlig falsch. Es geht doch nicht darum, wann sie Zugriff hatten, sondern wann sie den Entwickler kontaktieren. Du hast doch genau die richtige Links dazu gestellt.
Und eben dessen ist das ein Streit um Geld zwischen den beiden.
@estros Die Arbeitszeit für das Finden dder Lücke und das Kontaktieren der Entwickler kommt natürlich noch hinzu, da hast du recht.
Die ganze Geschichte ist einfach ein Wink von Google nicht mit dem Zaunpfahl, sondern mit dem Hangartor, an alle Entwickler, die meinen, den Playstore für mehr Einnahmen umgehen zu können. So nach dem Motto „Wenn ihr uns nicht wegelagern laßt, sorgen wir mit Veröffentlichungen von Lücken in eurer Software für so viel schlechte PR, daß sich das wirschaftlich für euch nicht mehr lohnt.“
