Epic Games、Googleのバグ開示方針を批判 31
さすがに90日はなあ 部門より
バグを開発元に報告してから90日後、またはパッチが広く入手可能になった時点でバグを公表する、というGoogleのバグ開示方針をEpic Gamesが批判している(Mashable)。
Epic Gamesは人気ゲーム「Fortnite」のAndroid版を直接配信しており、ユーザーがインストーラーアプリ「Fortnite Installer」をインストールして実行し、インストーラーがゲーム本体のAPKを外部ストレージにダウンロードしてインストールする仕組みになっていた。しかし、外部ストレージへの書き込み権限を持つ攻撃用アプリが存在すると、ダウンロードして検証した正規のAPKを偽APKに置き換え可能という脆弱性をGoogleが発見する。
報告を受けたEpic Gamesは2日後の17日、APKの保存先を内部ストレージに変更した修正版を配信。その一方で、ユーザーがパッチをインストールする時間をとれるよう、特別に脆弱性開示を90日後まで待ってほしいとGoogleに要望したのだが、Googleはパッチの配信開始から7日経過したとして該当のIssue Trackerを24日に一般公開(閲覧にはGoogleアカウントでのログインが必要)した。
Epic Games CEOのTim Sweeney氏はGoogleの迅速な脆弱性発見と報告に感謝する一方、多くのユーザーにパッチが行き渡っていない時点でバグを開示したことは無責任だと批判。Google Playで配信されていないFortniteを妨害するため、ユーザーを危険にさらしたなどと主張するコメントをMashableに送ったとのこと。
しかし、Google Play以外で入手したアプリをインストールするにはAndroidの設定で「提供元不明のアプリ」のインストールを許可する必要がある。Epic GamesはGoogle Playでの売り上げに課される手数料を回避するために直接配信を選んだとみられており、ユーザーの安全よりも利益を重視したとの批判も出ている。
Googleが自ら定めたルールに従ってバグを開示するのはよくあることであり、Google Playで配信されないアプリを妨害する意識が働いたのかどうかは不明だ。また、GoogleはGoogle PlayでFortniteが配信されていないことを警告するなど、偽アプリのインストール防止に努めている。Mashableの記事はGoogleとEpic Gamesのどちらが正しく、どちらが間違っているともいえないと評している。
ghostscript (スコア:2, 興味深い)
こないだコード実行の脆弱性が見つかったghostscriptでも開発者がgoogleに文句言ってますね。
https://artifex.com/news/ghostscript-security-resolved/ [artifex.com]
8/21にいきなり公開された、一般開示する前に修正する猶予をくれ、と。
90日ルールが守られてなかったっぽいです。
手数料を払わないと安全にソフトウェアをインストールできないプラットフォーム (スコア:0)
> しかし、Google Play以外で入手したアプリをインストールするにはAndroidの設定で「提供元不明のアプリ」のインストールを許可する必要がある。Epic GamesはGoogle Playでの売り上げに課される手数料を回避するために直接配信を選んだとみられており、ユーザーの安全よりも利益を重視したとの批判も出ている。
WebやWindowsでは証明書さえ買えば安全に配布できるのに。売り上げに対して手数料を強制するのは独占的だ。
Re:手数料を払わないと安全にソフトウェアをインストールできないプラットフォーム (スコア:1)
そもそも(一部の業務向けを除き)別ルートからインストールできないAppStoreは極悪人なわけですね。
今回も、iOSは外部インストールができないから適用外になり、Androidだけ外部インストールになったわけだけど、
これを機に、Googleが外部をシャットアウトしにかかる可能性が・・・
独占禁止法に抵触する可能性出てくるかもしれないが、AppStoreがやってんだろ、と言い訳もできそうな。
Re: (スコア:0)
Applがevilだからgoogleもevilになるのは仕方がないね
中国政府がevilだから中国でのgoogleがevilになるのも仕方がないわ
Re: (スコア:0)
数万円/年のコードサイニング証明書を買えば手数料無料で安全に配布やインストールができる!凄い!
Re: (スコア:0)
コードサイニング証明書は市場の多様性があるからね。年100ドル切ってることもあるんだし。
Re: (スコア:0)
Epic Gamesにとっては数万円/年なんて実質タダでしょ
ユーザーに選ばせるのが良いのでは? (スコア:0)
MacのアプリでもMac App Store版とインストーラ版があるように、ユーザーに選ばせてくれればいいのに。
支払方法も、PlayStore経由の決済を使いたい人もいるだろうし、直接クレジットカードとかで払いたいって人もいるだろうしね。
Re: (スコア:0)
宣伝が要らないレベルに著名な所だと、ストア経由のコストは払いたくないだろ。
Re: (スコア:0)
逆に儲かってるならそれぐらいのコスト払えばいいのに。
Re: (スコア:0)
決済手数料やウェブサイト運営のコストをいれたとしても、10%程度で済むものを30%とられるとか、無駄以外の何物でもなかろう。
株主利益にも反する。
Re: (スコア:0)
一番儲けてるストア運営者が自分の利益減らそうとしないわけで、他がそうしなきゃいけない理由はないよね。
Re: (スコア:0)
いつだかの記事で3割持っていってもiTunesストアは全然儲かってないとAppleは言ってたのに?今は知らんが。
Re: (スコア:0)
あの業態で3割で赤なら流石に無能過ぎ。
単なるその場しのぎの言い訳だろ。
実際にゴネたり離脱しようとすると、手数料半額位は提示するみたいだし。
Re: (スコア:0)
手数料が1割から3割なんてのを放置していたら、経営陣の首が飛ぶ。
意識の問題じゃない (スコア:0, 興味深い)
すでにパッチの配布が始まっており、ユーザーに行き渡るのを待っている段階にある脆弱性を、わざわざ公開してゼロデイ脆弱性を生み出すことの合理性が問題でしょ。
で、私の意見を言わせていただけば、そのような行為に合理性はなく、Googleが100%間違っていると思う。
これに限らないけど、マスコミのGoogleびいきは少々目に余るな。
Re: (スコア:0)
今回の件に関しては脆弱性と言えるのか?とも思いますね。
そもそもAPKをインストールするにはブラウザアプリなりでダウンロードしなければいけないですが、ダウンロードフォルダへのアクセス権限があればインストールさせるのは容易そうです。
書き込み権限を持った悪意のあるアプリが既にインストールされているなら直接権限を得て悪さをした方が手っ取り早いですし。
加えて対策も攻撃も容易なミスに近い今回の脆弱性という特徴を考えると公開は遅らせるのが妥当かと。
Re: (スコア:0)
ゼロデイの意味を調べてから批判をどうぞ
Re: (スコア:0)
行き渡るまで3ヶ月待てとかなめてる。Googleも呆れてるだろ。
Re: (スコア:0)
Androidのパッチだと下手すると永遠にエンドユーザまで行き渡らなかったりするんじゃ
Re: (スコア:0)
Windows XP使ってるユーザみたいなこと言われても…。
Re: (スコア:0)
Google Playのアップデートなんか、半日も待ってくれないからな。
モバイル回線ではなくWiFiでアップデートさせろよ・・・。
Re: (スコア:0)
すでにパッチの配布が始まっており、それから一週間経過
オンラインゲームなのでパッチ当てずに遊ぶのはおそらく不可能
この状態を広く入手可能になったと判断するのは妥当じゃないのかな
そして脆弱性を公開しなければ類似の失敗をしたアプリが産まれかねない
そのリスクを冒してまで3ヶ月待つのは合理性あるのかな
脆弱性? (スコア:0)
えーとつまり、PlayProtectで検出してくれるっつー事?
この場合、脆弱性のある提供元不明アプリ(公式アプリ)をブロックしてくれるのか、APKを差し替えようとする悪意あるPlayStoreアプリをブロックしてくれるのか、差し替えた不正APKの方をブロックするのか、それとも全部か。Googleの対応はどれだろう。
そもそも、この脆弱性ってどういうシナリオを想定してんだ?
ゲーム側で非公式のチートアプリが出回るって事?
Android側でウィルスアプリがインストールされるって事?
この件の、ユーザの安全性って何を意味してんだろ。
アップデート頻度 (スコア:0)
で、肝心のパッチの普及の早さはどんなもんなんですかね。
パッチ配信から7日で公開し、それから7日くらいになるが。
自分はOSやアプリのアップデートは即やる派だけど、みんなどれくらいやってるんだろう。
何もしてない、って人はちゃんと自動更新にしてるのだろうか。
自分はアップデートないか1日に何度もチェックしてたりする。
数百アプリいれてるから、ほぼ毎日アップデートがある。
Re: (スコア:0)
よく使う数本のアプリだけ出たらすぐ当てる。ぶっちゃけAliExpressとSpotifyだけは最新。
それ以外は気が向いたら。Googleなんちゃらは無効化&放置。
大体新SDK対応が落ち着いたころにまとめて更新。
Re: (スコア:0)
ゲームの場合、アップデートでゲームバランスが変わる場合もあるので
多人数参加型のゲームの場合は公正なプレイ環境を保つために
最新パッチをあてていないと遊べない
(実際のゲーム画面に入る前にバージョンチェックが入って弾かれる)
のが標準と言える状況です
Fortniteが実際どうなのかは存じませんが
多人数参加型のオンラインゲームなので
おそらく同じような作りになっているのではないかと思います
そして7日以上プレイしてない人がゲームに戻ってくる事はあまりないので
現存プレイヤーと言える人のほとんどが既にパッチ適用済みなのではないでしょうか
オンラインゲームではないアプリベンダーが騒ぐのならば理解も賛同も出来るのですけど
ゲームの場合このような事情があるので、ちょっと言い分を素直に見る事が難しいです
みせしめ (スコア:0)
にしか見えない
即座に修正したうえでいきわたるのを待ってほしいって話なんだから待たない合理的理由がないと思うんだが
さすがのGoogle (スコア:0)
かつて悪の枢軸と呼ばれた企業があったが、Googleはなんて呼ばれることになるんだろう
Re: (スコア:0)
枢軸より連合ってやつのほうが強かったらしいぞ
ウィルスばらまいてるのと同じ (スコア:0)
Google調子乗りすぎ
何様なんだよ