در اوایل این ماه , شایعاتی مبنی بر اینکه بازیهای حماسی خواسته بودند تا با توزیع نسخه android در خارج از فروشگاه نمایش , از کاهش درآمد گوگل جلوگیری کنند , درست است . در حالی که این حرکت به معنای پول بیشتر برای توسعه دهنده است, نگرانیهایی وجود دارد که میتواند خطرات امنیتی را برای کاربران android به ارمغان بیاورد - و به نظر میرسد که این ترسها توجیه شدهاند .
در حالی که مطمین نیستید که % s ایمن است , فروشگاه نمایش گوگل برخی از حمایتها را ارایه میدهد و نصب کننده اتوماتیک به معنای اجازه دادن به تاسیسات از منابع ناشناخته است - چیزی که توصیه نمیشود , به خصوص زمانی که برخی کاربران ممکن است فراموش کنند که اجازهها را از کار بیاندازند .
محققان امنیتی از گوگل که به طور عمومی این مشکل را در سایت مورد بررسی خود فاش کردند - چه غیبت از فروشگاه گوگل برای بررسی کامل این برنامه ناشناخته است .
آسیبپذیری در برنامه نصب کننده android ممکن است اجازه دهد که برنامههای مخرب روی تلفن کاربر وجود داشته باشند تا روند نصب را سرقت کنند و دیگر برنامههای مخرب را با دسترسی بیشتر دانلود کنند .
این حملات زمانی امکان پذیر میشوند که برنامههای کاربردی android دادهها را در فضای ذخیرهسازی خارجی ذخیره کنند, که به جای فضای ذخیرهسازی داخلی , معروف به حافظه سیستم به اشتراک گذاشته میشود . و همانطور که برنامه نصب کننده تنها نام فایل را چک میکند , هر پروندهای به نام " نامتناهی " نصب خواهد شد .
هر برنامه با اجازه ذخیرهسازی خارجی میتواند بلافاصله پس از تکمیل دانلود , فلاش را جایگزین کند و اثر انگشت تایید شود . این کار به راحتی انجام میشود . این برنامه نصب نصب ( جعلی ) را نصب خواهد کرد . "
خوشبختانه , epic یک لکه را منتشر کرد که در طی ۲۴ ساعت از کشف آن , آسیبپذیری نصب کننده را مورد خطاب قرار میداد . این شرکت درخواست کرد که گوگل جزئیات را تا پس از چند روز فاش نکند و به کاربران زمان زیادی برای به روز رسانی برنامهها و جلوگیری از سو استفاده هکرها از این بیماری میدهد .
با این حال , راهنمای گوگل نشان میدهد که در حالی که دوره رسمی برای افشای عمومی چند روز است , یکبار آسیبپذیری را افشا خواهد کرد . بنابراین , این شرکت درخواست حماسه را نادیده گرفت و جزئیات را هنگامی که نسخه قدیمی برنامه نصب برای هفت روز در دسترس بود , تقسیم کرد .
تعجبی ندارد که رئیس epic , تیم سویینی " در مورد کل وضعیت خوشحال نبود .
epic از تلاش گوگل برای انجام یک حسابرسی در عمق عمیق بلافاصله پس از رهایی ما از اندروید استفاده کرد و نتایج را با حماسه به اشتراک گذاشت تا بتوانیم به سرعت یک بروزرسانی را برای رفع عیب کشف کنیم .
با این حال , بی مسیولیت گوگل بود که جزئیات فنی این عیب را به سرعت فاش کند , در حالی که بسیاری از تاسیسات هنوز به روز نشده و آسیبپذیر بودند
خرید درون برنامه ای گوگل پلی یک مهندس امنیت حماسی , به اصرار من , از گوگل درخواست کرد تا اطلاعات عمومی را برای چند روز معمول به تاخیر بیندازد تا زمان بروزرسانی بیشتر شود . گوگل رد کرد . همه اینها را میتوانید بخوانید .
تلاشهای آنالیز امنیت گوگل برای پلت فرم android بسیار مهم و سودمند هستند , با این حال یک شرکت به اندازه گوگل باید زمان افشای مسئولانه تری نسبت به این داشته باشد , و کاربران را در مسیر تلاشهای ضد روابطعمومی خود در برابر توزیع حماسی خارج از گوگل , به خطر نمیاندازد .
سویینی در یک توئیت آشکار کرد که تصمیم گوگل برای افشای موارد اولیه ممکن است به این دلیل باشد که میدانست " های زیادی باقی نمانده است .
در دیگر اخبار مربوط به امنیت مربوط به امنیت , این شرکت در صورت امکان اعتبار دو عاملی به بازیکنان پاداش میدهد .