Android版「フォートナイト」にインストール乗っ取りの脆弱性、情報公開のタイミング巡りEpicがGoogle批判
Samsungのデバイスでは、Fortnite Installerがデバイス上のアプリに乗っ取られ、偽のAPKが密かにインストールされてしまう恐れがあった。
米Epic GamesがAndroid向けに配信しているバトルロイヤルゲーム「フォートナイト(Fortnite)」に脆弱性が発見され、Googleから連絡を受けたEpicが修正パッチを公開した。しかし、脆弱性情報を公開するタイミングをめぐってEpicは「Googleがユーザーを危険にさらした」と訴えている。
FortniteはGoogleの公式ストア「Google Playストア」を経由せず、Epicの公式サイトを通じて配信されている。Googleが公開した脆弱性情報によれば、Fortnite InstallerによってFortnite APK(com.epicgames.fortnite)が外部ストレージにダウンロードされる仕組みだが、Samsungのデバイスでは、Fortnite Installerがデバイス上のアプリに乗っ取られ、偽のAPKが密かにインストールされてしまう恐れがあった。
この問題は2018年8月15日にGoogleからEpicに非公開で通知され、Epicは翌16日に脆弱性の存在を確認。17日には指摘された問題を修正するパッチを公開したことを明らかにした。この時点でEpicは、ユーザーのデバイスにパッチが行き渡る時間を与えるため、90日の間、今回の脆弱性に関する情報の公開を控えるようGoogleに求めた。
しかしGoogleは25日、パッチが配信されてから7日間が経由したことを理由に、通常の慣行に従って閲覧制限を解除すると通告した。
この経緯をめぐってEpic Gamesのティム・スウィーニー最高経営責任者(CEO)はTwitterで「アップデートが行き渡るまで公開を控えてほしいとGoogleに頼んだが、拒否された。同社は安いPRポイントを稼ぐため、Androidユーザーを不必要なリスクにさらした」と訴えている。
さらにスウィーニーCEOは米Mashableに寄せたコメントで、「Googleのように強大な企業は、もっと責任ある情報公開のタイミングを図る必要がある。EpicがGoogle Playの外でFortniteを配信していることに対する反撃の宣伝目的で、ユーザーを危険にさらすことがあってはならない」と不満をぶつけている。
関連記事
- Google PlayにWindowsマルウェア感染アプリ、150本あまりが再浮上
Android端末でこうしたアプリをダウンロードしたとしても、直接的な害はない。それでもこうした攻撃経路が利用されて、他の攻撃を呼び込んでしまう可能性はある。 - Google Playに22本の不正広告アプリ、電話のたびに迷惑な広告が出てくる
アドウェア「LightsOut」のコードは、22本のフラッシュライトアプリやユーティリティアプリに仕込まれて、計150万〜750万回もダウンロードされていた。 - Google Playにまたマルウェア感染アプリ、高度な技術でチェックかわす
Check Pointによると、今回のマルウェアは少なくとも50本のアプリに仕込まれていて、Google Playから削除されるまでの間に100万回〜420万回もダウンロードされていた。 - Google Playにマルウェア感染アプリ、SMSを不正に送信
問題のマルウェアはプレミアム料金が課金されるSMSを送信したり、着信したSMSを削除したりする機能を持っていたという。 - Google Playで配信のアプリにランサムウェア、個人情報盗み身代金要求
Google Playからダウンロードしたアプリにランサムウェアが仕込まれているのが見つかったという。感染すると、端末から連絡先情報やSMSメッセージを盗み出し、管理者権限を要求する。これを許可すると端末がロックされて身代金を要求される。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.