Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Android-versie Fortnite had kwetsbaarheid voor 'man-in-the-disk'-aanval

Google heeft ontdekt dat het installatiebestand voor Fortnite op Android een kwetsbaarheid bevatte waardoor geïnstalleerde apps ongemerkt konden downloaden en software konden installeren. De kwetsbaarheid is inmiddels gerepareerd.

De fout in het installatiebestand werd door een medewerker van Google gemeld op zijn issuetracker, ongeveer twee weken geleden. Op het forum is de correspondentie tussen Google en Fortnite-maker Epic Games te zien; daaruit blijkt dat de problematiek inmiddels is verholpen, en dat er een update is doorgevoerd in de installer. Gebruikers die versie 2.10 van de installer op hun toestel hebben staan, zijn beschermd tegen de kwetsbaarheid.

Door de fout kon elke app die al op de smartphone stond geïnstalleerd, ongemerkt software downloaden op de achtergrond. Daarbij konden ook ongemerkt apps worden geïnstalleerd, en die konden eveneens alle mogelijke permissies krijgen. Het gaat om een zogenaamde 'man-in-the-disk'-aanval, iets dat onlangs ook al tijdens de Def Con-beveiligingsconferentie werd getoond. De al geïnstalleerde app die ongemerkt software installeert moet daarbij al wel rechten hebben om te schrijven naar de externe opslag op het Android-apparaat.

Deze gebruikt de externe opslag van Android om de sandbox van apps binnen te dringen en bijvoorbeeld een kwaadaardige app te installeren. Hoewel in de Android-richtlijnen is opgenomen dat appontwikkelaars deze opslag met de nodige beveiligingsmaatregelen moeten gebruiken, lijkt dit dus in het geval van Fortnite aanvankelijk niet te zijn gebeurd.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

26-08-2018 • 10:42

84 Linkedin Google+

Submitter: GeforceAA

Reacties (84)

Wijzig sortering
Het komt op mij een beetje over als: "En daarom moet alles via de play store, dit krijg je ervan." Maar misschien ben ik te cynisch. Ook omdat Google het ontdekt.
Dat Google het gevonden heeft en de details daarvan heeft gepubliceerd volgens de guidelines die ze hanteren, ja natuurlijk gaat Google dat gebruiken tegen Epic in een PR battle, maar is dat dan zo erg?

Epic heeft gekozen om de Google play store te omzeilen, moet de CEO nu niet gaan huilen dat Google hun meer tijd had moeten gunnen om de Installer in de Galaxy app Store ook te patchen, want daar zat volgens XDA voornamelijk het probleem, de Installer die je van Epic download was gepatch, die van de Galaxy app Store niet, plus bij Samsung is het zo dat de Galaxy App Store mogelijk maakte om die installatie te doen zonder dat de user op de hoogte werd gebracht. Een in your face aan Samsung en Epic, en well deserved imo.

[Reactie gewijzigd door Luinwethion op 26 augustus 2018 11:45]

Er is niks "omzeilen" aan, dankzij het open karakter van Android. Daarnaast heeft Google een compleet team voor dit soort dingen (en een bug bounty programma, overigens) en Epic niet. Dus zo gek is het niet dat Google dit vond. Aangezien er aangegeven werd dat het er was, is het intussen ook opgelost dus. Goedkoper kan Epic het niet krijgen iig. ;)
Nou Epic wil de 30% Google tax niet betalen, ik zie dat dan wel als omzeilen, iedere andere app is gewoon available in de Playstore, enige apps die daar niet te vinden zijn, zijn apps met content die Google niet wilt in de play store of apps zoals YouTube vanced.

Maar goed, ongeacht mijn mening over het omzeilen van de standaard app distributie systeem van Android, als de dat op hun manier moeten doen, prima, maar moeten ze het wel goed doen, als je de details van de bug kijkt, hebben ze Android safety 101 gewoon genegeerd, en met de hulp van Samsung's API kon de Installer gebruikt worden om elke willekeurige app te installeren en die app kon ook alle permissies krijgen zonder dat de user daarover gevraagd werd

Dus, ze doen anders dan iedereen, doen het fout en dan komt de CEO nog huilen dat Google hadden ze meer tijd moeten geven om te zorgen dat alle Galaxy toestellen gepatch waren en zeggen dat Google dit als een PR stuntje gebruikt, nou, moet de meneer zorgen dat zulke amateuristisch problemen niet in zijn software komt, Google zelf heeft genoeg keynotes en guidelines over hoe een "app store" moeten werken, en .apk in de App sandbox downloaden is wel eentje van.
Nou Epic wil de 30% Google tax niet betalen, ik zie dat dan wel als omzeilen, iedere andere app is gewoon available in de Playstore, enige apps die daar niet te vinden zijn, zijn apps met content die Google niet wilt in de play store of apps zoals YouTube vanced.
Er zijn nog wel meer apps die bijvoorbeeld wel in F-Droid beschikbaar zijn, maar niet in de Play Store. ;) Dus nee, echt omzeilen is het zeker niet, al helemaal niet enkel en alleen voor de afdracht die ze moeten doen naar Google, wat overigens geen belastingen (de taxes die jij noemt, ga ik even van uit?) zijn, wel kosten, maar geen belastingen. Met een omzet als wat Epic heeft met Fortnite: Battle Royale is het ergens nog best begrijpelijk ook, want je praat over meerdere miljoenen, waar Google anders niets voor hoeft te doen, maar wat Epic nu in eigen zak steekt. ;)
Maar goed, ongeacht mijn mening over het omzeilen van de standaard app distributie systeem van Android...
Helemaal standaard is Google Play ook niet. Ja, voor de massa misschien, maar strikt genomen zeker niet en is er ook niet echt een vaste standaard.Ja, in de ROMs van de telefoonfabrikanten, maar die hebben toestemming om de Google-apps te bundelen. Kijk je echt naar de basis versie van Android (het Android Open Source Project, AOSP dus) zitten daar géén enkele Google apps of zelfs überhaupt een appstore in. Zelfs de Google Play Services zijn daar dan niet aanwezig. Die kun je desgewenst apart installeren middels de OpenGapps. ;)
Dus, ze doen anders dan iedereen, doen het fout en dan komt de CEO nog huilen dat Google hadden ze meer tijd moeten geven om te zorgen dat alle Galaxy toestellen gepatch waren en zeggen dat Google dit als een PR stuntje gebruikt
Tja, met modder gooien is nu eenmaal makkelijker, dus zo raar vind ik het niet. De eerste reacties onder dit artikel zeggen toch ook dat het een makkelijke PR-stunt is van Google? :? Dus er zit wel degelijk een kern van waarheid in dan, gok ik zo. ;)

Maar goed, de exacte details zullen wij nooit weten, dus is het vooral op basis van speculatie reageren, wat wij nu doen. ;)

[Reactie gewijzigd door CH4OS op 26 augustus 2018 21:20]

Je komt moeilijk aan een toestel met AOSP, want dat is geen final product, je kunt je toestel AOSP-ish maken, maar alsnog meeste AOSP roms hebben de Gapps al geinstalleerd of bieden ze de .zip aan die meeste via twrp gaan flashen.

Die "massa" is juist de publiek die dat game gaan installeren, zo voor hun, en voor bijna alle Android toestellen die verkocht worden m.u.v China is playstore wel de standard en de enige die ze kennen.

Maar mijn punt was, als ze het anders en moeilijker willen doen om de 30% niet aan Google te betalen, doe het dan goed, en als het fout gaat los het snel op, bied excuses aan en probeer dan niet de focus bij Google te leggen omdat de de issue volgens hun richtlijnen na 7 dagen bekend hebben gemaakt.

Anyways ik verwacht veel meer gedoe met zulke keuzes, we gaan het zien waar het naar toe leid.
Je komt moeilijk aan een toestel met AOSP, want dat is geen final product, je kunt je toestel AOSP-ish maken, maar alsnog meeste AOSP roms hebben de Gapps al geinstalleerd of bieden ze de .zip aan die meeste via twrp gaan flashen.
Elk AOSP-ROM heeft geen toestemming van Google om de apps te gebruiken. Regelmatig komen AOSP-based ROMs dan met een update, omdat ze een opmerking van Google hebben gehad erover. Daarom dat bij elk AOSP-ROM op xda-developers altijd ook gelinkt wordt naar OpenGapps, die de Google apps installeren. Maar voor mijn punt maakt het niet uit; je bent het dus met me eens dat de strikte basis Android wel degelijk geen Google services en aanverwante apps heeft. ;)
Die "massa" is juist de publiek die dat game gaan installeren, zo voor hun, en voor bijna alle Android toestellen die verkocht worden m.u.v China is playstore wel de standard en de enige die ze kennen.
Vandaar dat ik die groep ook de massa noemde. ;)
Maar mijn punt was, als ze het anders en moeilijker willen doen om de 30% niet aan Google te betalen, doe het dan goed, en als het fout gaat los het snel op, bied excuses aan en probeer dan niet de focus bij Google te leggen omdat de de issue volgens hun richtlijnen na 7 dagen bekend hebben gemaakt.
Zoals ik het nieuwsbericht lees en met name in de titel, lees ik dat de bug ook allang en breed gefixed is. ;)
Anyways ik verwacht veel meer gedoe met zulke keuzes, we gaan het zien waar het naar toe leid.
Is inderdaad altijd kwestie van afwachten.
Oh nee de bug is gefixt, probleem was de volgende, Epic vroeg aan Google om 90 dagen te wachten tot release van de bug, Google zei nee, 7 dagen na fix maken we het vrij, maar niet alle Galaxy toestellen waren gepacht, ik vermoed dat update via de Galaxy app store longer heeft geduurd dan normaal.

De bericht op xda is vrij uitgebreider.
Maar de ceo kwam helemaal niet huilen dat er geen tijd was gegeven, en blijkbaar gaat het dus alleen om de galaxyvariant, wat voor mij dit hele artikel ineens een stuk meer clickbait maakt door het weglaten van die belangrijke informatie. Hiermee is de impact van het probleem aanzienlijk minder, verwaarloosbaar zelfs, omdat het alleen om de galaxy variant gaat, die dus via de galaxystore gedownload is, en niet via de methode zoals de losse installer gedaan moet worden.
Attack kan speelt ook voor bij non-Galaxy toestellen, maar dan niet in silent, dus een oplettend gebruiker zou kunnen zien dat de app die geinstaleerd wordt niet de spel is, maar wat anders, toch is er een risico voor de normale gebruiker.

Verder:
Epic genuinely appreciated Google’s effort to perform an in-depth security audit of Fortnite immediately following our release on Android, and share the results with Epic so we could speedily issue an update to fix the flaw they discovered.

However, it was irresponsible of Google to publicly disclose the technical details of the flaw so quickly, while many installations had not yet been updated and were still vulnerable.

An Epic security engineer, at my urging, requested Google delay public disclosure for the typical 90 days to allow time for the update to be more widely installed. Google refused. You can read it all at https://issuetracker.google.com/issues/112630336

Google’s security analysis efforts are appreciated and benefit the Android platform, however a company as powerful as Google should practice more responsible disclosure timing than this, and not endanger users in the course of its counter-PR efforts against Epic’s distribution of Fortnite outside of Google Play.
Ik vind dat nog best wel huilend overkomen, de standard disclosure time voor gepatched bugs is 7 dagen, dan moet Epic en Samsung het voor elkaar gaan krijgen om alles te patchen, waarom zou Google een uitzondering maken voor Epic?
7 dagen is geen 90 dagen zoals dus gebruikelijk, en ze zeggen zelf dat ze die 7 dagen alleen aanhouden als de bug actief misbruikt wordt, wat het dus nog niet werd, en daarmee dus eigenlijk de deadline van 90 dagen zou moeten hebben aangehouden. Die deadline van 7 dagen gebruiken ze alleen in uiterste situaties, wat hier dus NOG niet het geval was. Die 7 dagen deadline is dus niet vanaf het moment dat er een patch is, maar dus alleen als duidelijk is dat de bug al actief misbruikt wordt, nogmaals, dat was dus nog niet..
Er is dus hier duidelijk gekozen om de 90 dagen deadline (of vanaf het punt wanneer duidelijk is dat de bug misbruikt wordt) niet te hanteren, puur om Epic in een kwaad daglicht te stellen. En daarmee noem ik het dus niet 'huilen' van de ceo van epic, maar is gewoon pure misbruik van google geweest.
En het is niet de eerste keer dat google misbruik hier van maakt om anderen in een kwaad daglicht te stellen, of die 90 dagen deadlines uit te stellen voor hun eigen producten.
Nee het is niet erg, gewoon een beetje goedkoop. Beetje roomser dan de Paus als je ziet wat voor meuk er in de playstore staat waar niet naar omgekeken wordt.
Klopt. Ze staan volledig in hun recht. Echter is het wel onder de gordel. Ja epic had het beter moeten aanpakken, maar de grace period is hier overduidelijk om andere redenen dan technisch, niet aangehouden. Ja rechtmatig. Maar ook goor naar mijn mening.
Dus het bericht is eigenlijk dan nog eens erg incompleet, want dat het alleen om de galaxy variant zou gaan is dan toch wel heel belamgrijk, en maakt het nog minder nieuwswaardig. Nu is het dus heel erg sensationeel neergezet .
Zelfs via de play store was dit gebeurd. Ik ken geen enkel spel van grote omvang dat zijn volledige content in de play store heeft staan. Games zetten vaak ent gewoon de installer in de play store en laten die de content binnenhalen.
Weet iemand waarom ze daarvoor kiezen? Het lijkt me dat hosting van de game ook niet gratis is.
Google, zo ook apple, hebben een maximum aan de grootte van een apk/IPA vandaar dat game makers gebonden zijn aan het gebruiken van een installer.
Verder denk ik ook dat het gemakzucht is, een game kan nu geupdate worden zonder een update uit te voeren in de play/app store. Enkel als de installer geupdate moet worden wordt deze naar de store gepushed. Dit updaten kan nu ook platform onafhankelijk. Als je een app in de play en app store hebt staan update je de game op je eigen server en de installer van het platform haalt deze op waardoor deze dus niet het revisie proces van de play/app store door.
Google vraagt 30% ofzo op alle aankopen in de app. (Als die in de Play store staat)
Dat is behoorlijk wat zeker als je alle aankopen bekijkt gaat het misschien over miljoenen voor Fortnite alleen.

Als jij voor 1 miljoen zelf iets kan knutselen of 10 miljoen aan Google moet betalen denk je ook wel eens na. Zeker aangezien dit misschien de test is voor een Epic gamestore app voor al hun nog uit te brengen Android games (als die er überhaupt komen) dan besparen ze echt wel veel geld.

[Reactie gewijzigd door GoldenBE op 26 augustus 2018 15:57]

En in die installer zat nu net het probleem. Dus dit had waarschijnlijk wel opgemerkt geweest bij de play store
Had dit niet kunnen gebeuren als het via de Play Store was gelopen?

Je hoort vaak dat er amper controle is op apps in de Play Store maar dat vind ik lastig te geloven, hoe zit dat?
Daarom valt me dit zo op, Google is berucht om software automatisch te testen en dit niet te laten doen door een afdeling software testers. Fortnite is natuurlijk ook wel een leuk studieobject aangezien het zo populair is.

Je zou verwachten dat het dan in alle Unreal engine games zou kunnen zitten, kan me voorstellen dat het updaten van de software ook een engine feature is.
Juist, en deze bug kan dus alleen misbruijt worden door apps die al op de telefoon aanwezig zijn, en hoe zijn die op de telefoon gekomen? Juist, via de playstore......... .
Ja precies, maar als het ook via de Play Store kan, dan is het een stuk waarschijnlijker dat andere developers het gaan proberen.
Maarja, dan kun je dus weer Google de schuld geven van het niet goed controleren van de apps die in de appstore gezet worden (of hun updates daarvan). EN developers moeten natuurlijk wel van de bug weten, wat nog niemand dus wist todat Google het bekend maakte.
Het is simpel hoge bomen vangen veel wind dus kans dat fortnite misbruikt wordt is stuk groter dan een Jan Doedel spel.
Daarom moet epic goed testen vooral omdat je een jong publiek bedient.
Eens, wat me alleen opvalt is dat Fortnite berucht is omdat het niet via Playstore ( stond zelfs op reguliere media ) wordt aangeboden en het nu lijkt alsof ze daardoor onder een microscoop liggen.
Terecht dat ze onder een microscoop liggen toch? Het komt inderdaad fout over van Google dat ga ik zeker niet ontkennen maar het is gewoon de plicht van Google om dit te doen. Ze hebben een grote verantwoordelijkheid ook als het niet via hun app store gaat.
Aandacht, aandacht, aandacht! Weer krijgt Fortnite aandacht.
Juist daarom is het zo gevaarlijk dat ze buiten de Playstore zijn gegaan.
Je kan er op wachten dat er apk's of installers verschijnen voor hacks/cheats e.d met de vermelding "nieuw gratis Fortnite level" e.d.

Maar goed, al een kansloze discussie gevoerd hierover..
Google zal die loader wel binnenstebuiten gekeerd hebben om alles dat ze als argument kunnen gebruiken boven te krijgen.
Dat denk ik ook en dan onder het mom van behulpzaamheid.
Er zat/zit zat rotzooi in de Play Store. Volgens mij is F-Droid schoner.
Dat lijkt me nogal kwalijk gezien t publiek waar deze game zich op richt.
Lijkt wel redelijk snel opgepakt, maar je zou toch wel beter mogen verwachten van een bedrijf met een dergelijk formaat e.d.

[Reactie gewijzigd door Morress op 26 augustus 2018 10:44]

Waar mensen code schrijven, zullen er altijd fouten in de code zitten. Het is juist goed om te zien dat het vlot is opgelost, dat is veel belangrijker.
Maar wel dankzij het bedrijf dat Fortnite juist zo veel mogelijk probeert te omzeilen.

En daarnaast, het probleem werd ook juist veroorzaakt dóórdat ze Google proberen te omzeilen.

[Reactie gewijzigd door gday op 26 augustus 2018 11:03]

ze omzeilen Google niet, ze omzeilen alleen de Google PlayStore vanwege de grote hoeveel geld dat ze anders moeten afdragen.

en Google die wilt natuurlijk een veilig/betrouwbaar besturingsysteem en onderzoeken dan ook third party apps die erg beroemd zijn, ookal staan ze niet in de PlayStore.
ze omzeilen Google niet, ze omzeilen alleen de Google PlayStore vanwege de grote hoeveel geld dat ze anders moeten afdragen.ze omzeilen Google niet, ze omzeilen alleen de Google PlayStore vanwege de grote hoeveel geld dat ze anders moeten afdragen.
Het grappig is dat als bijvoorbeeld EA een game niet via Steam verspreid, om exact dezelfde reden, er een overvloed aan commentaar is. Doet Epic het met Google Play, eigenlijk de Steam voor Android apps, dan is het geen probleem :P
Het verschil in deze is dat je voor Fortnite alleen een apk download buiten de Playstore, geen verdere installaties benodigd (zoals Origin).
Ja en dat is juist heel gevaarlijk. Allemaal mensen die de meest belangrijke belangrijke beveiliging op de telefoon moeten uitzetten om het te installeren. Dat is gewoon zo fout. Dat is gewoon niet oke.
Jij haalt ook alleen maar zaken uit de windows store voor je PC? En dat ze de play store omzeilen lijkt me logisch: de marge die ze nemen is absurd hoog voor de dienst die ze verlenen, maar er is geen concurrentie dus komen ze er mee weg.
Alleen lijkt mij niet dat de gemiddelde persoon een antivirus draait op zijn of haar telefoon, terwijl dit uit mijn ervaring tenminste wel zo is bij een groot deel van pc gebruikers.
Antivirus is achteraf. Een goede store zou toegevoegde waarde hebben als alle software vooraf gecontroleerd is. Dat doen ze ook niet, gezien de recalls tot op heden (de controle vooraf is niet meer dan een heuristische virusscanner). Zou jij op iedere game die je koopt 30% marge van de winkel accepteren als ze de CD even virusscannen voor je? Dacht het niet. Te duur voor de geleverde service dus. Maar ja monopolie positie uitbuiten is wel zo lucratief.
Persoonlijk zou ik het zeker wel accepteren, puur omdat gebruikers zich veiliger voelen om iets via de play store te installeren in plaats van een apk (iets waar meeste non techy android gebruikers wss nooit van hebben gehoord). Hierdoor zouden ook heus meer mensen je producy kopen/downloaden wat de kosten van de play store kan verminderen. Wel ben ik het eens dat een monopolie niet goed is, maar met dit soort services is het lastig om er verandering in te brengen. Op pc ergert men zich er al aan dat ze naast steam ook uplay, origin enz. moeten installeren.
Apple doet precies het zelfde met die marge...
Dat is ook een monopolist (nog erger dan google, want sideloaden kan niet eens).
Gelukkig is op een windows pc het inmiddels ingeburgerd om een goede virusscanner actief te hebben. Dat heeft ook een kleine 20 jaar geduurd met veel media aandacht en horror verhalen.

Bij android is een virusscanner totaal nog niet ingeburgerd ook omdat de software niet altijd een positieve ervaring is.

De marge van de playstore is net zo groot als die van Apple hoor. En een tijd geleden was het ook nog zo dat er nauwelijks winst wordt gemaakt op de stores. Reken maar dat er door het hoge volume aardig wat mensen aan het werk zijn om iets van een veiligheid in het systeem te houden. De playstore is zeker niet perfect, maar dat is bijna geen enkele.

Zoals Tom ook zegt... dit is gewoon zo fout !
Geen winst op de playstores? Dan moet je de kwartaalresultaten er nog even op naslaan. Boekhoudkundig wordt er wat geschoven, maar de winst erop is enorm.
Wat een onzin, als je dat de meest belangrijke optie noemt dan is het wel erg slecht gestelt met de beveiliging.
apk is toch gewoon een install package.
Je download de Fortnite installer, en die download de game (fyi, de bug zat in de installer, niet in de game)
Dus feitelijk niet anders dan Origin.
Maar voor de games van EA moet je Origin installeren, als ik gewoon lekker Battlefield oid kon installeren zonder Origin dan zou ik er geen probleem mee hebben dat ze hun games niet op steam zetten. Het is gewoon zeer irritant dat ik tegenwoordig Steam, Origin, Uplay, Epic launcher en Battle.net allemaal geïnstalleerd zou moeten hebben om grotendeel van de 'mainstream' games te kunnen spelen.

Bij Fortnite op android heb je gewoon simpel een Fortnite installer en de Fortnite app zelf.

[Reactie gewijzigd door Neverps op 26 augustus 2018 12:00]

Bij Fortnite op android heb je gewoon simpel een Fortnite installer en de Fortnite app zelf.
En dat is anders dan Origin (de installer) en een game (app)?
En dat is dan maar één game, voor elke game een installer op je telefoon is geen probleem?

[Reactie gewijzigd door Zer0 op 26 augustus 2018 13:04]

stel je eens voor hoe erg het vroeger wel niet was toen je voor elk spel een andere floppy/cd/dvd moest zoeken om te installeren om dan nog eens alles te patchen.

Ik denk dat je wat verwend bent door het gemak dat een platform kan bieden en daardoor verwaand reageert dat elk spel op 'jouw' platform beschikbaar moet zijn.
Steam, Origin, Uplay, Epic launcher en Battle.net allemaal geïnstalleerd zou moeten hebben
Doe toch eens normaal... Is dat dan zo erg?
Heb je dan echt slechts MEGAbytes over op je harde schijf? En kom niet af met 'resource usage' - we zijn 2018, niet 1988. Bijna iedereen heeft hardware die uit zijn neus staat te vreten als er geen game of VM op staat.
[...]

Het grappig is dat als bijvoorbeeld EA een game niet via Steam verspreid, om exact dezelfde reden, er een overvloed aan commentaar is. Doet Epic het met Google Play, eigenlijk de Steam voor Android apps, dan is het geen probleem :P
EA moet Valve niet betalen voor in game aankopen. Ze hebben er zelf voor gekozen omdat ze niet willen betalen voor de service die Valve bied. Daarbij dient opgemerkt te worden dat Valve wel de volledige download van games verzorgd terwijl je bij Google enkel de installer in de store kunt krijgen en je alsnog zelf de infra moet voorzien voor het downloaden van de grote data bestanden.
Waar, maar wat probeer je daarmee te zeggen? Stomme Epic, had nou maar gewoon 30% van je omzet uit Android aan Google gegeven dan hadden we die kwetsbaarheid niet gehad?
Ze hadden er geen moeite mee toen ze fortnite in de AppStore van Apple wilde krijgen.

Dit is gewoon typisch een gevalletje van ‘corperate greed’. Google had namelijk hun code en app gedrag onderzocht en beoordeelt voordat het in de playstore zou komen waardoor dit soort problemen noet zouden voorkomen
Apple geeft gewoon geen mogelijkheid om te side-loaden. Je kunt het veilgheid noemen, je kunt het corperate greed van apple noemen.
De app van Binance (crypto exchange) kon in het verleden alleen via sideloaden geïnstalleerd worden. Je moest dan wel eerst de publisher ergens vertrouwen. En welke haken en ogen er nog meer aan zitten tov. android weet ik niet. Maar het verbaasde me toen dat er op deze manier gebruik van werd gemaakt.
Heb je dan ook een probleem met het sideloaden van applicaties op je desktop? Want voor iOS en Android was dit de standaard. Er is niets mis met het installeren van een APK (of iOS equivalent) die je hebt verkregen via de website van de ontwikkelaar.

Ik snap je 'verbazing' hier niet. Maar misschien heb ik je bericht verkeerd geïnterpreteerd.
Mijn verbazing ging puur over het feit dat het mogelijk is op iOS. Ik dacht dat de enige mogelijkheid was als een developer een apple-account toestemming gaf voor bijvoorbeeld een beta test.

Met haken en ogen bedoelde ik of er misschien bepaalde beperkingen zijn. Je hoort doorgaand niet of nooit over deze manier van apps op iOS.

Verder heb ik er geen problemen mee. Al vroeg ik me bij Binance wel af waarom hij niet via de Appstore ging. Een geld kwestie kon het niet zijn: het is een gratis app dus geen afdracht. Maar volgens mij was het een skin om de mobiele website en volgens mij mag dat niet van Apple.
Volgens mij liet Apple die app niet toe omdat ze een strikt beleid hadden rondom cryptocurrency-apps.

Wat Binance toen vermoedelijk deed was de app releasen via het Developer Enterprise Program. Dat is in principe bedoeld om in-house apps te ontwikkelen én deployen, buiten de App Store om. Maar dat wordt soms dus ook gebruikt worden om apps voor een groter publiek beschikbaar te stellen, al kan Apple dat blokkeren door de licentie in te trekken.
Het één sluit het andere niet uit. Sterker nog het ene is het resultaat van het andere.
Het is corporate greed dat je je winst op de mega klapper die jij gemaakt hebt graag zelf wil houden in plaats van 30% af te staan aan een bedrijf dat daar bijna niks voor terug doet?
Bij relatief onbekende apps vind ik die 30% helemaal niet zo gek, Google zorgt er in veel gevallen dan ook voor dat je gevonden wordt. Maar in dit geval is dat nauwelijks van toepassing, Fortnite is zo bekend daar hoeft Google echt niks meer aan te doen.
Je kunt het dus ook corporate greed van Google noemen dat zij niet tegen een voor Epic acceptabel tarief hun play store services aan willen bieden en daarmee dus weigeren hun Android gebruikers te beschermen tegen dit soort issues.
Wat Google en Apple zouden kunnen (moeten) doen is 30% met een maximum vragen. Boven een bepaald bedrag kan de afdracht naar bijvoorbeeld 5%, dichtbij de werkelijke kosten van het hosten plus het innen van het geld.
Het zijn bedrijven, die willen graag winst maken. Ik kan Google geen ongelijk geven.
dus weigeren hun Android gebruikers te beschermen tegen dit soort issues
Wie, Google?
1. Is het dan echt de leverancier's verantwoordelijkheid om het gezond verstand van hun gebruikers te zijn?
2. En binnenkort geen sideloading meer op Android, zul je zien.
Het is corporate greed dat je je winst op de mega klapper die jij gemaakt hebt graag zelf wil houden in plaats van 30% af te staan aan een bedrijf dat daar bijna niks voor terug doet?
Want de developers van Android worden betaald met liefde en likes? Een commissie vragen is gewoon businessmodel als een ander die Epic, ironisch genoeg, zelf ook hanteren in hun eigen marketplace. Tot met deze zomer was dat 30%, nu 12%.
Wat hebben de devs van Android hier mee te maken? Het gaat om de play store service. Of vind je dat devs voortaan moeten betalen aan de maker van het OS waar ze op draaien?

Verder is er niks mis met geld voor een dienst vragen, maar er is ook niks mis met die dienst dan niet gebruiken en diverse mensen hier lijken Epic te veroordelen omdat ze de distributie en financiën liever zelf afhandelen.
de devs van Android willen waarschijnlijk ook eens een boterham kunnen kopen met het werk dat ze leveren. Kan me voorstellen dat die boterham toch deels betaald wordt met de inkomsten van de play store.
Daar hebben ze wel moeite mee, maar ze hebben daar gewoonweg geen keuze.
Nou, wat ik daarmee wil zeggen is dat Epic de afweging maakt tussen meer omzet of meer veiligheid voor de gebruiker. Het eerste weegt duidelijk zwaarder, waardoor Epic er bewust voor kiest om de gebruiker bloot te stellen aan eventuele gevaren.

En dat is hiermee dus ook waarheid geworden. En wie weet wat voor mogelijke onbekende veiligheid problemen er nog meer zijn ...

Het open karakter van Android is mooi, evenals de mogelijkheid om apps te kunnen installeren die niet per se aan de eisen van Google moet voldoen. Maar de enige beweegreden om nu buiten de Play Store om te gaan is geld. Veiligheid voor de gebruiker zou daar nooit onder mogen lijden war mij betreft.

[Reactie gewijzigd door gday op 26 augustus 2018 11:49]

Tja, het is een keuze van de gebruiker om een app buiten de play store om te installeren... Op zich is het ook niet fundamenteel onveiliger, Google controleert de meeste apps echt nauwelijks en ook apps in de play store kunnen fouten of zelfs mal- of spyware bevatten (komt zelfs vrij veel voor).
Dit is een fout in de implementatie en toevallig is dit er inderdaad een die waarschijnlijk niet voor was gekomen als ze alles via de play store gedaan hadden, maar ik vind het erg kort door de bocht om dan maar te stellen dat Epic hier volledig fout zit (ja wel dat ze het verkeerd geïmplementeerd hebben maar niet dat ze de play store niet gebruiken). Je kunt het ook omdraaien en stellen dat Google de afweging tussen meer omzet en meer veiligheid maakt. Google kan er ook in dit soort gevallen voor kiezen om (veel) minder dan die 30% van de omzet op te eisen, want Fortnite verkoopt zichzelf wel, daar hoeven zij niet veel marketing meer voor te doen.
Sorry hoor, ohw er zit een foutje in de installer (die ook nog eens in principe niet makkelijk te misbruiken is omdat het dus om een andere app moet gaan die al op de telefoon aanwezig is welke dan dus de malware moet installeren), dus epic had dit niet moeten kiezen. Het is niet alsof de apps in de playstore allemaal zo veilig zijn, dus installatie via playstore is geen garantie voor een veilige app. Dus bij misbruik van dit lek zou je alsnog de vinger kunnen wijzen naar google omdat zij dus de betreffende app in hun playstore hebben toegestaan zonder gedegen controle van de app.

Makkelijk praten als het niet om jouw eigen geld gaat.
Oh, dus om omzet te maximaliseren moet Epic maar extra risico nemen dat er daardoor onbekende code op jouw toestel terecht komt? Het is nu inderdaad een probleem dat op zich niet makkelijk te misbruiken is, maar garandeert dat dat er geen probleem in de code zit dat wél makkelijk te misbruiken is?

En inderdaad, het is niet zo dat apps in de Play Store per definitie veilig zijn, maar de kwetsbaarheden waar we het nu over hebben worden gewoon veroorzaakt door het omzeilen van de Play Store. En dat zijn serieuze kwetsbaarheden.

Overigens ben ik zelf ook app developer en bied ik in mijn apps, met miljoenen gebruikers, ook in-app aankopen aan op zowel iOS als Android. Dus ja, in zekere zin heb ik het ook over mijn geld.

Ik vind het anderszijds makkelijk praten over andermans toestel dat wellicht gevaar loopt.

[Reactie gewijzigd door gday op 27 augustus 2018 17:30]

Nouja, als jij je zorgen maakt over de veiligheid, dan installeer je het toch niet buiten de store om.
Kijk als je een paar gebruikers hebt, dan is het niet zo interessant om buiten de store om te gaan. Maar hier gaat hiet om miljoenen gebruikers, en dan wordt het een ander verhaal, zeker omdat Epic zelf ook al de resources heeft om digital distribution te doen.
Ja, ik snap dat ik dat beter niet kan doen als ik me zorgen maak, maar ik ben niet de doelgroep.

En ik weet niet of je het met 'een paar gebruikers' over mijn apps hebt, want dan zit je er dus naast. Die hebben namelijk samen óók miljoenen gebruikers. Dat zei ik ook letterlijk in mijn vorige reactie. En nee, ik overdrijf niet met die cijfers.

[Reactie gewijzigd door gday op 27 augustus 2018 22:52]

Omzeilen vind ik het verkeerde woord. Omzeilen werkt de suggestie dat je iets doet wat niet mag. Iedereen mag gewoon een apk maken en die uitbrengen, het is alleen ongebruikelijk dat zo'n groot bedrijf kiest voor een losse installatie bestand ipv via de Google playstore.
Nu wordt Fortnite niet via Google Play Store verspreid maar moet je de APK downloaden en deze als betrouwbaar installeren.

Worden versies die eerder zijn geinstalleerd wel geupdatet met de laatste release? Zit er een automatische update mechanisme in de Fortnite software?
Ja die zit erin doordat ze eerst een installer installeren.
Hebben ze inmiddels ook gefixed dat de permissie van het toestaan van thirdparty software door de gebruiker wordt disabled. Mijn dochter kreeg wel het verzoek deze te verwijderen met niet om het terug te zetten bij het installeren (heb meegekeken).

Geen fan van deze installatie methode, al begrijp ik de economische overwegingen.
Waar ik me eigenlijk nog het meest zorgen om maak is dat een willekeurige app überhaupt privileges kan verkrijgen om onopgemerkt software te installeren. En dat zelfs nog via een fout in een andere app.
Ik heb er nooit in detail naar gekeken maar zover ik kan bepalen draait iedere app als z'n eigen user als onderdeel van de sandboxmethode van Android...

Ik vind het erg zorgwekkend...

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Networking en security

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True