谷歌提前披露《堡垒之夜》安全漏洞细节引Epic不满

南山南丶

前谷歌工程师提前披露《堡垒之夜》安卓版的安全漏洞细节，这立刻招致了游戏开发商Epic的不满。尽管随后Epic的团队成功地在漏洞披露的48小时发布更新补丁，但两家的梁子算是结下了。此前Epic避开GooglePlay应用商店发布Android版的《堡垒之夜》被怀疑为事由。

Epic游戏公司决定通过其网站而不是通过GooglePlay应用商店发布Android版的《堡垒之夜》，避开其30%的应用抽成。而谷歌的安全专家近日披露《堡垒之夜》安卓版版安装器出现重大漏洞，攻击者随时可替换并且进行中间人攻击。

谷歌工程师表示，安装程序只会对文件名进行匹配检测，并不会检测其它细节，这导致攻击者如果进行替换后，用户将会下载加入病毒或者仿冒的安装包。幸运的是，Epic的团队成功地在漏洞披露的48小时内(8月15日)发布更新补丁。据称，Epic公司曾经要求谷歌按照行业标准在90天后再公布漏洞细节，让用户有足够的时间升级安装文件的版本。但是谷歌忽视了Epic公司的请求在7天后就公布了漏洞的细节。

Epic的CEO Time Sweener对此发表了不满。

他透露了谷歌决定不顾许多用户都没有升级新版游戏安装文件的事实，决定提前公布这项漏洞的细节。

via：Gamelook