释放双眼,带上耳机,听听看~!
Epic Games 旗下的《堡垒之夜》已开启 Android 测试,但为避开 30% 的应用抽成,他们没有选择通过 Google Play 应用商店发布,而是直接在官网下载。
上周五,Google 披露了 Android 版《堡垒之夜》安装器出现的一个安全漏洞,攻击者随时可替换并且进行 Man-in-The-Disk 攻击。根据 Google 之前制定的规则,他们会先向相关开发负责人报告漏洞,待对方发布广泛可用的补丁后,或在90天后仍未解决问题时,Google 会对外公开此漏洞的详细信息。这次,在 Google 共享攻击演示视频后,Epic 迅速释出了补丁,并请求 Google 给予标准的 90 天时间,以确保用户更新。不过却被 Google 拒绝,并在补丁发布 7 天之后公开了漏洞。
为此,Epic 的 CEO Tim Sweeney 认为 Google 这么做就是为了报复,这种做法会对其 Android 用户造成不必要的风险:
Epic 真诚感谢 Google 对《堡垒之夜》安全性的深度审查,并及时向我们分享了他们发现的安全威胁,让我们能够迅速地发布安全修复。然而,Google 如此迅速地公开披露这一漏洞的技术细节是不负责任的,许多安装游戏的用户仍未更新,者仍具威胁。我们的一位安全专家曾请求 Google 推迟公开披露此漏洞细节,希望给予业界标准的90天,以让用户拥有更长的更新时间。但 Google 拒绝了。Google 对信息安全的分析值得感激,并有利于整个 Android 平台发展,但强大的 Google 应当更有原则地遵守披露时间,而不是危及我们的用户。这可能会被视为针对我们绕开 Google Play 发行游戏的公关回应。
截至发稿前,Google 未对此事发表评论。
