Fortnite op mobiel is een hit - maar is het veilig op Android?

Fortnite LTM: Blitz





Net als fidget-spinners en Snapchat ervoor, is Fortnite niet alleen 's werelds populairste game, het is ook de meest modieuze. Miljoenen tieners zijn overgestapt op de gratis, toegankelijke en leuke shooter, dankzij de lancering op bijna elk modern spelapparaat ter wereld. Dat was natuurlijk zonder Android, met zijn 2 miljard gebruikers en misschien wel de grootste installatiebasis. In tegenstelling tot de snelle lanceringen op vergelijkbare ARM-gebaseerde mobiele platforms, de Nintendo Switch en iOS, was Android in plaats daarvan de muurbloem bij de dans, verlangend starend naar zijn gelukkige leeftijdsgenoten terwijl ze muren bouwden en in winkelkarretjes reden.

Epic Games, de zelf-publicerende ontwikkelaars van Fortnite, waren stil over de release en gaven geen informatie vrij totdat geruchten begonnen te zwellen dat het exclusief voor Samsung zou zijn. Het duurde niet lang na dit gerucht dat er andere, veel grovere geruchten zouden circuleren over het plan van Epic om de Google Play Store te omzeilen om de 30% korting te vermijden die Google van ontwikkelaars vraagt ​​om gebruikers te bereiken, bandbreedte en beveiligingscontroles te bieden. Dit werd een paar weken later bevestigd nadat een gebruiker media vond die waren ingebed in een Epic-site die gebruikers waarschuwde dat ze beveiligingsaanpassingen aan hun apparaten moesten aanbrengen. Dus, nadat Tim Sweeney, de CEO van Epic Games, op Twitter pleitte voor van zijn beslissing, stelde ik mijn eigen vraag.

Bekijk meer

De vorige thread bevatte een discussie over mijn zorgen over gebruikersbeveiliging in een steeds duisterder wordende omgeving waar toegang tot gebruikersaccounts, hun gegevens en hun financiële details gemakkelijk en gemakkelijk kunnen worden gephishing en verkocht. Het argument van Tim was grotendeels gericht op de fundamentele vrijheden van open platforms, zoals Windows, waar Epic grotendeels hun reputatie heeft opgebouwd, en om een ​​ontsnapping te pionieren van de beperkingen van monopolie app-winkels, zoals die op de andere platforms die Fortnite kan, aantoonbaar, krediet als onderdeel van de reden voor zijn fenomenale succes.

Opgemerkt moet worden dat Tim hier een sterk punt heeft: open platforms bieden consumenten meer mogelijkheden dankzij concurrerende marktplaatsen. Windows is grotendeels het dominante platform voor applicaties en games dankzij het oude ontwikkelingsgemak, het ontbreken van beperkingen op standaardinstallaties van applicaties van derden, enzovoort. Maar tegelijkertijd had Windows een hoge prijs betaald voor diezelfde vrijheid, met duizenden gaten die miljoenen exploits, malware, virussen, wormen enzovoort mogelijk maakten. Het was pas in de meest recente versies dat het hoogtepunt van meer dan 20 jaar van incrementele, steeds verplichtere beveiligingswijzigingen de stroom van aanvallen heeft gestopt.

Android is in veel opzichten zelfs vrijer dan Windows, dankzij de open source-basis die gemakkelijke toegang biedt tot exploit farming, plus de laisse faire-houding van Google ten aanzien van forking, skinning en verplichte beveiligingsupdates. Dit betekent dat gebruikers wijd verspreid zijn over 10 verschillende versies van Android, waarbij maar liefst 50% nog steeds software gebruikt tussen de 2 en 5 jaar oud. De enige verdediging tegen deze beveiligingsnachtmerrie is de toenemende macht van Google over de Google Play Services API, die nodig is om de Google Play Store samen met een groot aantal andere Google-services te laden.



Maar voordat jullie allemaal je hooivorken verzamelen om me op Twitter te achtervolgen, wil ik een opmerking maken dat ik het er volledig mee eens ben dat de korting van Google aantoonbaar veel te hoog is voor wat ze ontwikkelaars in ruil daarvoor bieden. Hetzelfde geldt voor bijna elke andere winkel - van Steam tot Origin, GOG tot Playstation - de eigenaar bestuurt het platform. Maar tegelijkertijd is hier intrinsiek niets mis mee, aangezien die eigenaren geld hebben uitgegeven om een ​​groot publiek op te bouwen en de zichtbaarheid van titels te vergroten die normaal helemaal niet zichtbaar zouden zijn. In dit geval voelt het alsof Epic, blij met het stimuleren van andere platforms waar app-winkels monopolies zijn, hun enorme populariteit graag wilde gebruiken om Google te omzeilen.

Nogmaals, daar is op het eerste gezicht niets mis mee. Android is ontworpen om het sideloaden van apps door het ontwerp mogelijk te maken. Maar het probleem hier is dat op de overgrote meerderheid van apparaten ouder dan ongeveer 10 maanden, sideloading (rechtstreeks downloaden van het open web naar de telefoon) apps vereist dat de grootste beveiligingsfunctie van Android wordt uitgeschakeld - wat in de handen van een ervaren gebruiker al riskant is - maar wanneer miljoenen gebruikers gewoon klauteren om de populairste game te bemachtigen, is beveiliging altijd een enorme bijzaak.

Sideloading is een van de gemakkelijkste manieren om een ​​Android-apparaat aan te vallen dat het openstelt voor de wereld. Waar deze functie ooit verhinderde dat *elke* niet-Google Play Store-app op de apparaten werd uitgevoerd, is nu alles dat in het .apk-formaat is verpakt, rijp. Elke bestaande app, inclusief webbrowsers of andere bestaande applicaties, krijgt dan toestemming om .apk-pakketten uit te pakken en uit te voeren. De beslissing van Epic zal phishers en dergelijke simpelweg pushen om te adverteren en software te pushen naar Fortnite-gebruikers die freebies, cheats, enzovoort aanbieden om apparaten te infecteren.



Om deze zorgen weg te nemen, stuurt de Fortnite Installer .apk een melding die, zodra erop wordt getikt, gebruikers terugduwt naar het tabblad waar ze sideloading hebben ingeschakeld om het weer in te schakelen. Maar het is waarschijnlijk dat op dit punt de meeste gebruikers het spel zullen updaten of spelen en het gewoon wegvegen om het later te doen of omdat het ze gewoon niet kan schelen. Er is geen verplichte richtlijn dat deze optie is geactiveerd om het spel te kunnen spelen. Tim vermeldt dat Google Play Store een beveiligingstheater is, en in sommige gevallen heeft hij gelijk. De eigen winkel van Google is tientallen keren betrapt op het hosten van onbetrouwbare apps, en als gevolg daarvan screent het nu zwaarder nieuwe apps en voert het constante controles uit om ervoor te zorgen dat updates niet in malafide code sluipen.

Maar Epic verschuift gewoon de schuld naar Google voor zijn vroege beveiligingsfouten en prees zijn recentere inspanningen, daar gaat het niet om. Veel pre-Oreo-telefoons zullen deze software uitvoeren zonder de beveiligingen weer in te schakelen, net als gebruikers met Oreo en Pie Chrome gewoon open laten om apps te laden. Natuurlijk is dit niet het hele systeem, maar het opent ook een enorm exploiteerbaar gat dat er eerder niet was. Google kan het verleden niet herschrijven en beveiligingsproblemen op een miljard telefoons oplossen met een enkele actie, maar Epic kan zeker voorkomen dat hij de slechterik wordt voor miljoenen gebruikers door volgens dezelfde regels te spelen als alle anderen.