Epic Games’in Fortnite’ı Google Play Store’da sunmayıp kendi yükleyicisini kullanması eleştirilen bir durum. Oyunun ilk kez yüklenmesi ve güncellemelerin kontrol edilmesi de Play Store yerine yükleyiciden gerçekleştiriliyor. Bu yüzden Epic Games’in kendi güvenlik altyapısını oluşturması gerekliydi. Google ise “Ben size demiştim.” diyerek yükleyicide bir güvenlik açığı buldu ve hatayı düzeltti.
Geçen hafta bir Google mühendisi, bu konu hakkında açıklama yapan bir post yayınladı. Yükleyici uygulama, oyunun APK dosyasını indirdiğinde dosyanın üzerinde oynama yapılmadığından emin olmak için imzayı kontrol ediyordu. Ancak yükleyici, indirme süreci başlamadan önce APK’nın bütünlüğünü, sağlamlığını kontrol etmiyor; sadece isminin doğru olup olmadığına bakıyordu.
Mühendis, WRITE_EXTERNAL_STORAGE iznine sahip olan zararlı bir dosyanın Fornite APK’sı üzerinde değişiklikler yapabileceğini ve bunu kullanıcının daha oyunun yüklenmesini kabul etmeden başarabileceğini belirtti.
Epic Games’in, açığın Google tarafından düzeltildikten sonra bunu halka açıklamadan önce 90 gün beklemesini istediğini (ki bu zararlı uygulamaların hatayı keşfetmemeleri adına uygulanan standart bir prosedürdür) ancak Google’nın açık düzeltildikten sonraki gün bunu halka paylaşarak bu durumun Google’ın her zaman yaptığı bir uygulama olduğunu belirtti.
Epic Games’te çalışanlardan birinin yamadan 7 dakika sonra olaya cevap verdiği de belirtildi.
