Epic Games、Googleのバグ開示方針を批判

headless曰く、　バグを開発元に報告してから90日後、またはパッチが広く入手可能になった時点でバグを公表する、というGoogleのバグ開示方針をEpic Gamesが批判している（Mashable）。

　Epic Gamesは人気ゲーム「Fortnite」のAndroid版を直接配信しており、ユーザーがインストーラーアプリ「Fortnite Installer」をインストールして実行し、インストーラーがゲーム本体のAPKを外部ストレージにダウンロードしてインストールする仕組みになっていた。しかし、外部ストレージへの書き込み権限を持つ攻撃用アプリが存在すると、ダウンロードして検証した正規のAPKを偽APKに置き換え可能という脆弱性をGoogleが発見する。

　報告を受けたEpic Gamesは2日後の17日、APKの保存先を内部ストレージに変更した修正版を配信。その一方で、ユーザーがパッチをインストールする時間をとれるよう、特別に脆弱性開示を90日後まで待ってほしいとGoogleに要望したのだが、Googleはパッチの配信開始から7日経過したとして該当のIssue Trackerを24日に一般公開（閲覧にはGoogleアカウントでのログインが必要）した。

　Epic Games CEOのTim Sweeney氏はGoogleの迅速な脆弱性発見と報告に感謝する一方、多くのユーザーにパッチが行き渡っていない時点でバグを開示したことは無責任だと批判。Google Playで配信されていないFortniteを妨害するため、ユーザーを危険にさらしたなどと主張するコメントをMashableに送ったとのこと。

　しかし、Google Play以外で入手したアプリをインストールするにはAndroidの設定で「提供元不明のアプリ」のインストールを許可する必要がある。Epic GamesはGoogle Playでの売り上げに課される手数料を回避するために直接配信を選んだとみられており、ユーザーの安全よりも利益を重視したとの批判も出ている。

　Googleが自ら定めたルールに従ってバグを開示するのはよくあることであり、Google Playで配信されないアプリを妨害する意識が働いたのかどうかは不明だ。また、GoogleはGoogle PlayでFortniteが配信されていないことを警告するなど、偽アプリのインストール防止に努めている。Mashableの記事はGoogleとEpic Gamesのどちらが正しく、どちらが間違っているともいえないと評している。

　スラドのコメントを読む | ITセクション | Google | セキュリティ | バグ | ゲーム

　関連ストーリー：
Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 2018年08月15日
Google Play、Fortniteの検索結果に警告を表示 2018年08月12日
人気ゲーム「フォートナイト」、Android版はPlayストアではなく販売元が独自に配信へ 2018年08月08日