《堡垒之夜》安卓版安装器被曝漏洞，谷歌“毫不犹豫”将其公布

IT之家8月26日消息 此前Epic Games已经表示安卓版《堡垒之夜》不会登陆Google Play商店，用户需要通过游戏官方网站进行安装。不过据TechCrunch消息，一位谷歌工程师在《堡垒之夜》下载器上线一周后发布的帖子中指出，这一安装器存在巨大隐患。

IT之家获悉，这一下载器的工作原理不难理解。下载器会下载了一个APK文件（即安卓应用程序包），存储在本地然后启动。但是工程师指出，由于它存储在共享的外部存储器上，所以攻击者可以将这一文件调包。这种攻击方式即所谓的“man in the disk”。

据称，这个安装程序只会检查APK的名称是否正确，也即，只要攻击者的文件名为“com.epicgames.fortnite”，安装器就会安装它。攻击者若有需要，还可以获取一些额外权限。

值得注意的是，谷歌已经将这个漏洞在Google Issue Tracker网站上公布了。而众所周知的是，目前公认的漏洞公开披露官方期限为90天，若如果供应商发布修正案，这个时间还能更短。

Epic的CEO Tim Sweeney对此表示，谷歌公开披露该漏洞的技术细节是不负责任的，而许多配置尚无法得到更新，仍然容易受到攻击。他还称，一位Epic安全工程师要求谷歌将公开披露时间延迟到90天，但遭到谷歌的拒绝。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。