Problemas de seguridad en el Fortnite para Android
Una tormenta de problemas de seguridad está abrumando la versión en Android del videojuego Fortnite. Y parece que no va a acabar pronto.
La desarrolladora Epic Games acaba de arreglar un fallo de seguridad en el instalador de Fortnite para dispositivos Android, pero los expertos proyectan que los problemas aumentarán con este juego en la medida en que se haga más popular en Android.
Y esto se debe a que Fortnite no está disponible a través de la Play Store de Google. En lugar de ello, Epic decidió proponer una ruta poco convencional —y más peligrosa— para los fans del juego: en vez de descargar Fortnite a través de la tienda de apps oficial de Google, los jugadores deben descargar el juego y luego hacer un sideload del app en el dispositivo Android.
Sideload significa instalar el paquete de una aplicación en formato APK en el dispositivo. El sideload de apps en dispositivos Android sólo es posible si el usuario permite “fuentes desconocidas” en su configuración de seguridad.
En vista de la influencia de Fortnite, que ya alcanza más de 125 millones de jugadores, enseñar a los usuarios a descargar apps fuera de la tienda oficial de apps es exponer a millones de personas a una práctica riesgosa, según advierten los expertos. Aun cuando Epic Games no tenga intenciones maliciosas, otras apps podrían no sean tan benévolos.
“El problema con Fortnite es que es tan atractivo y la gente va a pensar que el sideload es completamente normal”, dijo Craig Williams, investigador de seguridad de Talos Intelligence Group de Ciscos. “Se han convertido en un blanco atractivo”.
Pero, ¿por qué Epic se está saltando a Google? Porque no quiere ceder el 30 por ciento de ingresos que todos los creadores de apps deben compartir con el gigante de búsquedas. Y, en vista de la popularidad de Fortnite con jugadores dispuestos a pagar por skins, esto significa que los ingresos para la desarrolladora son mayores.
Sin embargo, los fans de Fortnite con un dispositivo Android serían quienes pagarían un precio elevado por esta decisión.
¿Cuál era la vulnerabilidad?
Dos días después de que Fortnite estuviera disponible en Android, un ingeniero de Google descubrió una vulnerabilidad que le podría permitir a los hackers reemplazar el app con una versión falsa del juego.
Google dijo en un comunicado que notificó inmediatamente a Epic acerca de la vulnerabilidad.
Epic Games arregló la vulnerabilidad el 16 de agosto y le pidió a Google que no diera a conocer la vulnerabilidad durante 90 días para que los jugadores tuvieran suficiente tiempo para instalar el arreglo.
En lugar de ello, Google alertó al público una semana después. El presidente ejecutivo de Epic Games, Tim Sweeney, criticó a Google por dar a conocer el fallo demasiado pronto, argumentando que no le dio suficiente tiempo para desplegar el arreglo para todos.
Pero Scott Helme, investigador de seguridad, dijo que el período de siete días para dar a conocer una vulnerabilidad es normal.
“Siempre querrás dar a conocer una vulnerabilidad lo más pronto posible para informarle a la gente que hagan el arreglo ya”, dijo Helme.
La crítica de Sweeney a Google sugiere que Epic Games no tiene conciencia de la magnitud de los riesgos de ciberseguridad.
Aun así, no esperes que Epic ponga a Fortnite en la Play Store.
Durante el primer día en que Epic Games lanzó Fornite para dispositivos Android, Helme dijo que los juegos falsos de Fortnite constituían casi un tercio del malware que se descubrió esa semana.
Cuando Williams vio el aumento en los apps falsos de Fornite se trataba mayormente de versiones del juego con adware. Los estafadores estaban ofreciendo la misma experiencia de juego, pero ganando dinero al mostrarle anuncios a los usuarios.
Estas versiones falsas del juego eran sencillas y no podían causar daño masivo como el robo de credenciales de tu cuenta, por ejemplo, dijo. Pero, a medida que el juego se haga más popular entre usuarios de Android, quienes tendrán que hacer sideload del app, las cosas se empeorarán.
“Lo que estamos viendo ahora son las formas fáciles de malware”, dijo Williams. “A medida de que pase el tiempo, vamos a ver arraigarse ejemplos más complejos”.