Theo Google, trình cài đặt trên Android của Fortnite có chứa lỗ hổng, cho phép cài đặt các ứng dụng độc hại lên thiết bị của người dùng. Google chia sẻ rằng họ kiểm tra Fortnite dành cho Android là để bảo vệ hàng chục triệu game thủ đã cài đặt tựa game này.
Tuy nhiên, trong gần hai tuần qua, khi an toàn của các game thủ vẫn đang treo lơ lửng trên một sợi tóc thì Google và Epic Games chỉ mải tranh chấp, lời qua tiếng lại. Điều này cho thấy họ đang ưu tiên vào việc khác chứ chẳng quan tâm gì tới game thủ.
Quyết định ích kỉ của Epic để không phải chia hoa hồng cho GoogleEpic tung ra phiên bản Android của tựa game phổ biến nhất thế giới vào đầu tháng Tám. Nhưng trái với quy trình thường thấy, Epic quyết định phân phối Fortnite cho Android thông qua trang web của họ thay vì đưa lên Google Play Store.Để cài Fortnite cho Android, trước tiên người dùng cần cài Fortnite Installer, thứ có thể tải trên Galaxy App Store (dành cho các thiết bị của Samsung) hoặc đăng ký nhận trên trang web của Epic (cho các thiết bị Android khác).Sau khi cài đặt, Fortnite Installer sẽ tải xuống phiên bản Fortnite từ các máy chủ của Epic và cài nó vào thiết bị của bạn.Epic quyết định không đưa Fortnite lên Play Store để tránh phải trả 30% doanh thu cho Google. 30% là một khoản tiền lớn, đặc biệt là với một trò chơi mang lại 318 triệu USD chỉ trong tháng 5 vừa rồi.
Bất kỳ ứng dụng nào trên Play Store đều phải chia 30% doanh thu cho Google. Apple cũng thu một khoản hoa hồng tương tự với các ứng dụng trên App Store nhưng chẳng có cách nào để Epic phân phối Fortnite mà không cần qua App Store.
Thế nhưng, đi một mình không phải là lựa chọn khả thi cho tất cả mọi người. Hầu hết các công ty và nhà phát triển độc lập cần Google Play Store để có thể tiếp cận tới hàng tỷ người dùng đã cài đặt Play Store trên thiết bị của họ.Fortnite, vốn đã có 125 triệu người chơi trên các nền tảng khác, không cần Play Store để tiếp cận người dùng Android. Tuy nhiên, phân phối ứng dụng không qua Play Store đồng nghĩa với việc bắt người dùng phải hy sinh sự an toàn của họ để cài đặt Fortnite. Theo mặc định, Android chỉ cho phép người dùng cài đặt từ Play Store, nơi Google xem xét kỹ lưỡng mọi ứng dụng để tìm lỗ hổng bảo mật trước khi tung ra cho người dùng.Điều này không có nghĩa là Google Play Store không chứa ứng dụng độc hại nhưng ít nhất nó đáng tin cậy hơn so với những cửa hàng ứng dụng và những nguồn không xác định khác.Để có thể cài Fortnite, người dùng Android phải thay đổi cài đặt trên thiết bị để cho phép tải ứng dụng từ các cửa hàng ứng dụng và những nguồn không xác định khác.Và như thế, bất kỳ ứng dụng nào từ các nguồn có thể gây hại đều có thể được cài vào thiết bị của họ. Với sự phổ biến của Fortnite, đây là một nguy cơ mà nhiều người dùng chưa sẵn sàng đón nhận. Ví dụ, nếu người dùng nhận được email lừa đảo chứa link tới trang web giả mạo, mời tải về ứng dụng Fortnite chứa mã độc, thiết bị của họ sẽ không được bảo vệ nếu họ cài đặt nó.Ngoài ra, nhiều người chơi Fortnite là trẻ em, có rất nhiều cách can thiệp vào quá trình cài đặt Fortnite để đưa ứng dụng độc hại vào thiết bị của người dùng. Hơn nữa, vì người chơi Fortnite rất thường xuyên mua sắm trong ứng dụng nên những tên tội phạm mạng càng có động lực để thực hiện những hành vi lừa đảo.Người dùng có thể tắt tính năng cho phép cài đặt ứng dụng từ các nguồn không xác định vào thiết bị sau khi cài đặt Fortnite nhưng sẽ lại phải bật nó mỗi khi có bản cập nhật mới. Từ trước tới nay, con người thường xuyên quan tâm tới sự tiện lợi hơn là tính bảo mật. Vì thế, nhiều người dùng sẽ bật luôn mà chẳng thèm tắt tính năng này.Google trả thù Epic theo cách có hại cho người dùngMặc dù Epic không gửi Fortnite để phân phối trên Play Store nhưng Google vẫn kiểm tra ứng dụng này để xem có bất kỳ lỗ hổng bảo mật nào hay không. Và đúng như mong muốn, họ đã tìm ra những gì họ mong muốn tìm thấy.Theo nền tảng Issue Tracker của Google, Google đã báo cho Epic về lỗ hổng bảo mật nghiêm trọng này vào ngày 15/8. Theo kỹ sư của Google, một ứng dụng có thể làm hỏng quá trình tải và cài đặt Fortnite của Fortnite Installer để tải và cài đặt ứng dụng chứa mã độc có thể giành quyền truy cập vào camera, vị trí, micro, SMS, bộ nhớ và tính năng gọi điện trên thiết bị của người dùng. Kỹ sư này thậm chí còn đăng tải một video demo cách khai thác lỗ hổng và cài đặt thành công một phiên bản Fortnite giả lên thiết bị.Tất nhiên, lỗ hổng này chỉ có thể được khai thác nếu ứng dụng độc hại có sẵn trên thiết bị để chặn yêu cầu tải xuống Fortnite và chuyển hướng nó đến nguồn chứa mã độc.Nhưng khi cho phép điện thoại cài đặt ứng dụng từ các nguồn không xác định, chính bạn đã tăng nguy cơ nhiễm mã độc, ứng dụng độc hại cho thiết bị của mình.Nhóm bảo mật của Epic đã xác nhận lỗ hổng, cảm ơn kỹ sư của Google vì đã khám phá ra nó và vá lỗi trong vòng 48 tiếng. Sau đó, họ yêu cầu Google đợi 90 ngày rồi hẵng công bố chi tiết về những gì họ khám phá ra.
90 ngày là khoảng thời gian đủ để Epic đảm bảo tất cả các thiết bị đã cài Fortnite đều được cập nhật và không còn nguy cơ bị khai thác.
Trái với yêu cầu của Epic, chỉ 7 ngày sau Google đã tiết lộ về lỗ hổng bảo mật trên Fortnite. “Hiện tại, bản vá lỗi cho Fortnite Installer đã tung ra được 7 ngày. Đã đến lúc chúng tôi tiến hành giải quyết vấn đề này theo thông lệ tiêu chuẩn của Google”. Google tuyên bố. “Đảm bảo an toàn cho người dùng là ưu tiên hàng đầu của chúng tôi và là một phần trong việc giám sát mã độc chủ động, chúng tôi đã phát hiện ra lỗ hổng bảo mật trong Fortnite Installer”.Google tuyên bố họ tiết lộ sớm về lỗ hổng bảo mật có thể là hành vi trả thù Epic Games và như một sự răn đe với các công ty khác. Hiếm công ty có thể tung ra game, phần mềm một cách độc lập mà không cần qua Play Store như Epic. Tuy nhiên, bằng việc công bố sớm lỗ hổng của Fortnite, Google đang đe dọa các công ty nghĩ tới việc bắt chước Epic trong tương lai.CEO của Epic Tim Sweeny, cho rằng Google đã vô trách nhiệm khi công bố quá sớm, khi mà nhiều bản cài đặt vẫn chưa được cập nhật và vẫn dễ bị khai thác. Sweeny cũng cáo buộc Google gây nguy hiểm cho người dùng khi cố gắng PR bẩn nhằm trả thù Epic vì không phân phối Fortnite qua Play Store.Người dùng mới chính là đối tượng thiệt hại nhiều nhất khi kẹt giữa tranh chấp của Google và EpicCả Epic và Google đều có doanh thu khủng nên đáng ra họ phải có những quyết định hợp lý hơn.Epic Games không sai khi cho rằng Google quá tham lam với mức 30% doanh thu ứng dụng. Rất nhiều nhà phát triển cũng cảm thấy như vậy.Tuy nhiên, quyết định bỏ qua Google Play Store để tối ưu hóa lợi nhuận của Epic thực sự tồi tệ khi bắt người dùng phải đánh đổi bằng chính sự an toàn của họ.Tương tự vậy, Google chẳng hơn gì Epic khi quyết định công bố sớm lỗ hổng bảo mật mà họ phát hiện ra. Nói là để bảo vệ người dùng nhưng thực chất hành vi này của Google chỉ để trả thù Epic và thậm chí nó còn khiến những người dùng chưa kịp vá lỗ hổng có nguy cơ bị tấn công.Khi hai công ty này mải mê tranh chấp, khẩu chiến vì doanh thu của Fortnite, họ không hề quan tâm rằng những quyết định của họ sẽ ảnh hưởng nghiêm trọng tới sự an toàn của người dùng.Các cụ đã có câu: “Trâu bò húc nhau, ruồi muỗi chết” và nó hoàn toàn đúng trong trường hợp này.