Fortnite på mobilen är en hit – men är det säkert på Android?

Fortnite LTM: Blitz





Liksom fidget spinners och Snapchat före det, är Fortnite inte bara världens mest populära spel, det är också det tuffaste. Miljontals tonåringar har hoppat in på det gratis, lättillgängliga och roliga skjutspelet, tack vare att det lanserades på nästan alla moderna spelenheter på planeten. Det var naturligtvis att utelämna Android, med sina 2 miljarder användare och utan tvekan den största installationsbasen. Till skillnad från sina snabba lanseringar på liknande ARM-baserade mobila plattformar, Nintendo Switch och iOS, var Android istället väggblomman på dansen och tittade längtansfullt på sina glada kamrater när de byggde väggar och åkte i shoppingvagnar.

Epic Games, de självpublicerande utvecklarna av Fortnite, var tysta om releasen och släppte ingen information förrän ryktena började svälla om att det skulle bli en exklusiv Samsung. Det dröjde inte länge efter det här ryktet att andra, mycket mer allvarliga, rykten skulle cirkulera om Epics plan att kringgå Google Play Butik för att undvika de 30 % nedskärningar som Google tar från utvecklare för att nå användare, tillhandahålla bandbredd och säkerhetskontroller. Detta bekräftades ett par veckor senare efter att en användare hittat media inbäddat på en Epic-webbplats som varnade användarna om att de skulle behöva göra säkerhetsändringar på sina enheter. Så, efter att Tim Sweeney, VD för Epic Games, argumenterade för på Twitter om hans beslut ställde jag en egen fråga.

Se mer

Den föregående tråden beskrev en diskussion om mina farhågor om användarsäkerhet i en allt mer grumlig miljö där åtkomst till användarkonton, deras data och deras ekonomiska detaljer lätt och enkelt kan nätfiskas och säljas. Tims argument centrerades till stor del kring de grundläggande friheterna för öppna plattformar, som Windows, där Epic till stor del har byggt upp sitt rykte, och att vara pionjär för en utbrytning från gränserna för monopol-appbutiker, som de på andra plattformar som Fortnite kan, utan tvekan, kredit som en del av anledningen till dess fenomenala framgång.

Det måste noteras att Tim har en stark sida här – öppna plattformar erbjuder konsumenterna fler alternativ tack vare konkurrenskraftiga marknadsplatser. Windows är till stor del den dominerande plattformen för applikationer och spel tack vare dess äldre lätthet i utveckling, brist på restriktioner för standardinstallationer av tredjepartsapplikationer och så vidare. Men samtidigt hade Windows betalat ett högt pris för samma frihet, med tusentals hål som tillåter miljontals utnyttjande, skadlig programvara, virus, maskar och så vidare. Det var inte förrän de senaste versionerna som kulmen på över 20 år av stegvisa, alltmer obligatoriska säkerhetsändringar har stoppat flödet av attacker.

Android är på många sätt till och med friare än Windows, tack vare sin öppen källkodsbas som ger enkel tillgång till exploateringsjordbruk, plus Googles laisse faire-inställning till forking, skinning och obligatoriska säkerhetsuppdateringar. Det betyder att användare är spridda över 10 olika versioner av Android, med hela 50 % som fortfarande använder mjukvara mellan 2 och 5 år gammal. Det enda försvaret mot denna säkerhetsmardröm är Googles ökande makt över Google Play Services API, som krävs för att ladda Google Play Butik tillsammans med en mängd andra Google-tjänster.



Men innan ni alla samlar era höggafflar för att jaga mig på Twitter, låt mig notera att jag håller helhjärtat med om att Googles snitt utan tvekan är alldeles för högt för vad de ger utvecklare i gengäld. Samma fall gäller nästan alla andra butiker – från Steam till Origin, GOG till Playstation – ägaren kontrollerar plattformen. Men samtidigt finns det inget i sig självt fel med detta, eftersom de ägarna har spenderat pengar för att bygga en stor publik och öka synligheten för titlar som normalt inte skulle ha varit synliga alls. Det känns som i det här fallet att Epic, glada över att ha använt förstärkningen av andra plattformar där appbutiker är monopol, var angelägna om att utnyttja sin enorma popularitet för att kringgå Google.

Återigen är det inget fel med detta på ytan. Android är designat för att möjliggöra sidladdning av appar. Men problemet här är att på den klara majoriteten av enheter äldre än cirka 10 månader kräver sidladdning (nedladdning direkt från den öppna webben till telefonen) appar inaktivering av Androids enskilt största säkerhetsfunktion – vilket i händerna på en erfaren användare redan är riskabelt – men när miljontals användare helt enkelt klättrar för att få tag på det hetaste spelet som finns, är säkerheten alltid en stor eftertanke.

Sideloading är ett av de enklaste sätten att attackera en Android-enhet som öppnar upp den för världen. Där den här funktionen en gång förhindrade *alla* appar som inte kom från Google Play Butik från att köras på enheterna, är nu allt som paketerats i .apk-formatet moget. Alla befintliga appar, inklusive webbläsare eller andra befintliga applikationer, får sedan tillåtelse att extrahera och köra .apk-paket – det är i princip som att logga in på Windows som administratör och stänga av installationsprompten. Epics beslut kommer helt enkelt att pressa nätfiskare och liknande att annonsera och pusha mjukvara hos Fortnite-användare som erbjuder freebies, fusk och så vidare för att infektera enheter.



För att bekämpa dessa farhågor skickar Fortnite Installer .apk ett meddelande som, när det väl tryckts på, skjuter användarna tillbaka till fliken där de aktiverade sidladdning för att slå på den igen. Men det är troligt att de flesta användare vid det här laget kommer att uppdatera spelet eller spela det och bara sveper bort det för att göra det senare eller för att de helt enkelt inte bryr sig. Det finns ingen obligatorisk riktlinje att det här alternativet är aktiverat för att spelet ska köras. Tim nämner att Google Play Butik är säkerhetsteater, och i vissa fall har han rätt. Googles egen butik har ertappats med att vara värd för tvivelaktiga appar dussintals gånger, och som ett resultat av detta har den nu mer omfattande screening av nya appar och kör ständiga kontroller för att säkerställa att uppdateringar inte smyger in oseriös kod.

Men Epic att helt enkelt flytta skulden till Google för sina tidiga säkerhetsfel och berömma dess nyare ansträngningar är vid sidan om. Många pre-Oreo-telefoner kommer att köra den här programvaran utan att aktivera skyddsanordningar igen, liksom användare med Oreo och Pie helt enkelt lämna Chrome öppen för att ladda appar. Visst, det här är inte systembrett, men det öppnar också ett enormt exploateringsbart hål som inte fanns där tidigare. Google kan inte skriva om det förflutna och åtgärda säkerhetsproblem på en miljard telefoner med en enda åtgärd, men Epic kan säkert undvika att vara skurken för miljontals användare genom att spela enligt samma regler som alla andra.