Версия Fortnite для Android стала полем битвы между Google и Epic Games, издателем игры, причем обе стороны обвиняют друг друга в компрометации безопасности пользователей.

К сожалению, обе компании правы. Но пока они ссорятся из-за своей доли в миллионах долларов, которые приносит успех Epic, за это приходится расплачиваться геймерам.

Google имеет право критиковать Epic

Решение Epic распространять версию Fortnite для Android через собственный веб-сайт вместо Google Play вызвало раздражение у Google и не без оснований.

Google получает 30-процентную долю выручки от каждого приложения, опубликованного в Google Play, и Epic Games не хотела передавать Google то, что, вероятно, было бы здоровой частью изменений. Игра сгенерировала 1 миллиард долларов в выручке в течение первого года; на iOS сгенерировано Fortnite 200 миллионов долларов в первые пять месяцев.

В июле Epic также уменьшил свою долю дохода от Unreal Engine Marketplace с 30% до 12%, а генеральный директор Тим Суини отчасти объяснил этот шаг успехом Fortnite. Это произошло за несколько недель до того, как Epic опубликовала версию Fortnite для Android, возможно, чтобы оправдать собственное решение отказаться от платы Google Play.

Многим разработчикам не нравится эта плата, но только компания с размахом и репутацией Epic может избежать воздействия, предоставляемого Google Play. (Apple взимает такую ​​же плату в своем App Store, но iOS не предлагает возможности загрузки приложений за пределами App Store.)

Самораспространяющийся Fortnite для Android также предоставляет Epic доступ к пользователям в таких регионах, как Китай, где Google Play недоступен, без необходимости развертывания отдельных методов распространения. Но оправдывает ли дополнительный доход небезопасную практику публикации игры вне Google Play?

Google Play не лишен недостатков безопасности, но это наиболее безопасное место для публикации приложений Android. Можно утверждать, что как авторитетный и профессиональный издатель Epic будет придерживаться методов безопасного кодирования и, конечно же, никогда намеренно не внедряет вредоносный код в свои приложения. Но всегда необходимо иметь вторую, третью и, возможно, четвертую пару профессиональных глаз, которые проверяют и проверяют ваш код и приложение на предмет недостатков безопасности, как позже продемонстрировал Google, когда обнаружил. ошибка установщика Android Fortnite.

Что действительно делает решение Epic опасным, так это то, что оно требует от пользователей изменения безопасности по умолчанию на своих телефонах, чтобы разрешить установку приложений из источников, отличных от Google Play. Это открывает ящик Пандоры для проблем безопасности и делает пользователей уязвимыми для многих типов кибератак. Например, хорошо спланированная схема фишинга может заманить пользователей на поддельный веб-сайт, который устанавливает вредоносную версию приложения из источника, отличного от серверов Epic Games.

Таким образом, решение Epic подвергнуть пользователей рискам безопасности ради возмещения скудной части своих доходов можно охарактеризовать только как эгоистичное.

Epic имеет право критиковать Google

Поскольку Epic не публиковала Fortnite в Google Play, у Google не было обязательств проверять его. Но компания изо всех сил тщательно изучила приложение и — возможно, к радости Google — обнаружила серьезную уязвимость, связанную с человеком на диске, в приложении-установщике Fortnite.

Это означает, что когда на телефоне пользователя уже установлено вредоносное приложение, оно может захватить процесс установки Fortnite, чтобы установить версию игры, зараженную вредоносным ПО, вместо подлинной.

Усилия Google достойны похвалы, поскольку в ближайшие месяцы в мобильную игру будут играть десятки миллионов пользователей. Epic выпустила обновление в течение 48 часов после уведомления об ошибке.

Но, несмотря на просьбу Epic к Google подождать 90 дней, прежде чем раскрыть ошибку, Google сделал Тема в системе отслеживания проблем через семь дней после того, как Epic исправила ошибку. «Безопасность пользователей — наш главный приоритет, и в рамках нашего упреждающего мониторинга вредоносных программ мы выявили уязвимость в установщике Fortnite», — сказал Google в ответ.

Но тот факт, что уязвимость была обнаружена так рано, ставит под сомнение этот «главный приоритет». Делая обсуждение общедоступным, инженер Google сказал, что решение соответствует его политика раскрытия уязвимостей, в котором говорится: «Мы немедленно уведомляем поставщиков об уязвимостях, при этом подробности публично сообщаем защитному сообществу через 90 дней или раньше, если поставщик выпустит исправление».

Генеральный директор Epic Тим Суини назвал это безответственным ходом и обвинил Google в том, что он подвергает опасности пользователей «в ходе своих усилий по борьбе с пиаром, направленным против распространения Fortnite Epic за пределами Google Play».

Суини прав. У Google было много причин проявить большую гибкость и сдержанность в публикации ошибки, если бы он действительно заботился о безопасности своих пользователей. Не будем забывать, что это приложение распространяется за пределами Google Play, а это означает, что процесс его обновления может быть не таким гладким, как другие приложения, опубликованные в Play Store. Кроме того, поскольку, возможно, его уже установили десятки миллионов пользователей, подождать еще несколько недель, чтобы убедиться, что все обновили приложение, не повредит.

Поспешность Google раскрыть ошибку намекает на скрытые мотивы, наиболее очевидным из которых является месть Epic Games за обход ее магазина Play. Хотя Google мало что может сделать, чтобы заставить Epic изменить модель распространения Fortnite, его наказание в отношении компании посылает сигнал любому разработчику, укрывающему мысли об обходе Google Play, где пользователи тратят примерно 20,1 миллиарда долларов каждый год.

И у Google, и у Epic Games полно денег, но в их усилиях по извлечению большей прибыли из своего программного обеспечения и платформы они наносят ущерб пользователям, которых, как они утверждают, служат.