パスワードを忘れた? アカウント作成
13698031 story
Google

Epic Games、Googleのバグ開示方針を批判 31

ストーリー by hylom
さすがに90日はなあ 部門より
headless曰く、

バグを開発元に報告してから90日後、またはパッチが広く入手可能になった時点でバグを公表する、というGoogleのバグ開示方針をEpic Gamesが批判している(Mashable)。

Epic Gamesは人気ゲーム「Fortnite」のAndroid版を直接配信しており、ユーザーがインストーラーアプリ「Fortnite Installer」をインストールして実行し、インストーラーがゲーム本体のAPKを外部ストレージにダウンロードしてインストールする仕組みになっていた。しかし、外部ストレージへの書き込み権限を持つ攻撃用アプリが存在すると、ダウンロードして検証した正規のAPKを偽APKに置き換え可能という脆弱性をGoogleが発見する。

報告を受けたEpic Gamesは2日後の17日、APKの保存先を内部ストレージに変更した修正版を配信。その一方で、ユーザーがパッチをインストールする時間をとれるよう、特別に脆弱性開示を90日後まで待ってほしいとGoogleに要望したのだが、Googleはパッチの配信開始から7日経過したとして該当のIssue Trackerを24日に一般公開(閲覧にはGoogleアカウントでのログインが必要)した。

Epic Games CEOのTim Sweeney氏はGoogleの迅速な脆弱性発見と報告に感謝する一方、多くのユーザーにパッチが行き渡っていない時点でバグを開示したことは無責任だと批判。Google Playで配信されていないFortniteを妨害するため、ユーザーを危険にさらしたなどと主張するコメントをMashableに送ったとのこと。

しかし、Google Play以外で入手したアプリをインストールするにはAndroidの設定で「提供元不明のアプリ」のインストールを許可する必要がある。Epic GamesはGoogle Playでの売り上げに課される手数料を回避するために直接配信を選んだとみられており、ユーザーの安全よりも利益を重視したとの批判も出ている。

Googleが自ら定めたルールに従ってバグを開示するのはよくあることであり、Google Playで配信されないアプリを妨害する意識が働いたのかどうかは不明だ。また、GoogleはGoogle PlayでFortniteが配信されていないことを警告するなど、偽アプリのインストール防止に努めている。Mashableの記事はGoogleとEpic Gamesのどちらが正しく、どちらが間違っているともいえないと評している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ghostscript (スコア:2, 興味深い)

    by Anonymous Coward on 2018年08月30日 16時14分 (#3471274)

    こないだコード実行の脆弱性が見つかったghostscriptでも開発者がgoogleに文句言ってますね。

    https://artifex.com/news/ghostscript-security-resolved/ [artifex.com]
    8/21にいきなり公開された、一般開示する前に修正する猶予をくれ、と。
    90日ルールが守られてなかったっぽいです。

  • > しかし、Google Play以外で入手したアプリをインストールするにはAndroidの設定で「提供元不明のアプリ」のインストールを許可する必要がある。Epic GamesはGoogle Playでの売り上げに課される手数料を回避するために直接配信を選んだとみられており、ユーザーの安全よりも利益を重視したとの批判も出ている。

    WebやWindowsでは証明書さえ買えば安全に配布できるのに。売り上げに対して手数料を強制するのは独占的だ。

    • そもそも(一部の業務向けを除き)別ルートからインストールできないAppStoreは極悪人なわけですね。

      今回も、iOSは外部インストールができないから適用外になり、Androidだけ外部インストールになったわけだけど、
      これを機に、Googleが外部をシャットアウトしにかかる可能性が・・・
      独占禁止法に抵触する可能性出てくるかもしれないが、AppStoreがやってんだろ、と言い訳もできそうな。

      親コメント
      • by Anonymous Coward

        Applがevilだからgoogleもevilになるのは仕方がないね
        中国政府がevilだから中国でのgoogleがevilになるのも仕方がないわ

    • by Anonymous Coward

      数万円/年のコードサイニング証明書を買えば手数料無料で安全に配布やインストールができる!凄い!

      • by Anonymous Coward

        コードサイニング証明書は市場の多様性があるからね。年100ドル切ってることもあるんだし。

      • by Anonymous Coward

        Epic Gamesにとっては数万円/年なんて実質タダでしょ

  • by Anonymous Coward on 2018年08月30日 15時28分 (#3471246)

    MacのアプリでもMac App Store版とインストーラ版があるように、ユーザーに選ばせてくれればいいのに。
    支払方法も、PlayStore経由の決済を使いたい人もいるだろうし、直接クレジットカードとかで払いたいって人もいるだろうしね。

    • by Anonymous Coward

      宣伝が要らないレベルに著名な所だと、ストア経由のコストは払いたくないだろ。

      • by Anonymous Coward

        逆に儲かってるならそれぐらいのコスト払えばいいのに。

        • by Anonymous Coward

          決済手数料やウェブサイト運営のコストをいれたとしても、10%程度で済むものを30%とられるとか、無駄以外の何物でもなかろう。
          株主利益にも反する。

        • by Anonymous Coward

          一番儲けてるストア運営者が自分の利益減らそうとしないわけで、他がそうしなきゃいけない理由はないよね。

          • by Anonymous Coward

            いつだかの記事で3割持っていってもiTunesストアは全然儲かってないとAppleは言ってたのに?今は知らんが。

            • by Anonymous Coward

              あの業態で3割で赤なら流石に無能過ぎ。
              単なるその場しのぎの言い訳だろ。
              実際にゴネたり離脱しようとすると、手数料半額位は提示するみたいだし。

        • by Anonymous Coward

          手数料が1割から3割なんてのを放置していたら、経営陣の首が飛ぶ。

  • by Anonymous Coward on 2018年08月30日 15時32分 (#3471251)

    すでにパッチの配布が始まっており、ユーザーに行き渡るのを待っている段階にある脆弱性を、わざわざ公開してゼロデイ脆弱性を生み出すことの合理性が問題でしょ。

    で、私の意見を言わせていただけば、そのような行為に合理性はなく、Googleが100%間違っていると思う。

    これに限らないけど、マスコミのGoogleびいきは少々目に余るな。

    • by Anonymous Coward

      今回の件に関しては脆弱性と言えるのか?とも思いますね。
      そもそもAPKをインストールするにはブラウザアプリなりでダウンロードしなければいけないですが、ダウンロードフォルダへのアクセス権限があればインストールさせるのは容易そうです。
      書き込み権限を持った悪意のあるアプリが既にインストールされているなら直接権限を得て悪さをした方が手っ取り早いですし。
      加えて対策も攻撃も容易なミスに近い今回の脆弱性という特徴を考えると公開は遅らせるのが妥当かと。

    • by Anonymous Coward

      ゼロデイの意味を調べてから批判をどうぞ

    • by Anonymous Coward

      行き渡るまで3ヶ月待てとかなめてる。Googleも呆れてるだろ。

      • by Anonymous Coward

        Androidのパッチだと下手すると永遠にエンドユーザまで行き渡らなかったりするんじゃ

        • by Anonymous Coward

          Windows XP使ってるユーザみたいなこと言われても…。

      • by Anonymous Coward

        Google Playのアップデートなんか、半日も待ってくれないからな。
        モバイル回線ではなくWiFiでアップデートさせろよ・・・。

    • by Anonymous Coward

      すでにパッチの配布が始まっており、それから一週間経過
      オンラインゲームなのでパッチ当てずに遊ぶのはおそらく不可能
      この状態を広く入手可能になったと判断するのは妥当じゃないのかな
      そして脆弱性を公開しなければ類似の失敗をしたアプリが産まれかねない
      そのリスクを冒してまで3ヶ月待つのは合理性あるのかな

  • by Anonymous Coward on 2018年08月30日 16時01分 (#3471266)

    えーとつまり、PlayProtectで検出してくれるっつー事?
    この場合、脆弱性のある提供元不明アプリ(公式アプリ)をブロックしてくれるのか、APKを差し替えようとする悪意あるPlayStoreアプリをブロックしてくれるのか、差し替えた不正APKの方をブロックするのか、それとも全部か。Googleの対応はどれだろう。

    そもそも、この脆弱性ってどういうシナリオを想定してんだ?
    ゲーム側で非公式のチートアプリが出回るって事?
    Android側でウィルスアプリがインストールされるって事?
    この件の、ユーザの安全性って何を意味してんだろ。

  • by Anonymous Coward on 2018年08月30日 17時23分 (#3471333)

    で、肝心のパッチの普及の早さはどんなもんなんですかね。
    パッチ配信から7日で公開し、それから7日くらいになるが。

    自分はOSやアプリのアップデートは即やる派だけど、みんなどれくらいやってるんだろう。
    何もしてない、って人はちゃんと自動更新にしてるのだろうか。

    自分はアップデートないか1日に何度もチェックしてたりする。
    数百アプリいれてるから、ほぼ毎日アップデートがある。

    • by Anonymous Coward

      よく使う数本のアプリだけ出たらすぐ当てる。ぶっちゃけAliExpressとSpotifyだけは最新。
      それ以外は気が向いたら。Googleなんちゃらは無効化&放置。
      大体新SDK対応が落ち着いたころにまとめて更新。

    • by Anonymous Coward

      ゲームの場合、アップデートでゲームバランスが変わる場合もあるので
      多人数参加型のゲームの場合は公正なプレイ環境を保つために
      最新パッチをあてていないと遊べない
      (実際のゲーム画面に入る前にバージョンチェックが入って弾かれる)
      のが標準と言える状況です

      Fortniteが実際どうなのかは存じませんが
      多人数参加型のオンラインゲームなので
      おそらく同じような作りになっているのではないかと思います

      そして7日以上プレイしてない人がゲームに戻ってくる事はあまりないので
      現存プレイヤーと言える人のほとんどが既にパッチ適用済みなのではないでしょうか

      オンラインゲームではないアプリベンダーが騒ぐのならば理解も賛同も出来るのですけど
      ゲームの場合このような事情があるので、ちょっと言い分を素直に見る事が難しいです

  • by Anonymous Coward on 2018年08月30日 19時07分 (#3471428)

    にしか見えない
    即座に修正したうえでいきわたるのを待ってほしいって話なんだから待たない合理的理由がないと思うんだが

  • by Anonymous Coward on 2018年08月31日 0時06分 (#3471619)

    かつて悪の枢軸と呼ばれた企業があったが、Googleはなんて呼ばれることになるんだろう

    • by Anonymous Coward

      枢軸より連合ってやつのほうが強かったらしいぞ

  • by Anonymous Coward on 2018年08月31日 6時26分 (#3471666)

    Google調子乗りすぎ
    何様なんだよ

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...