Epic Games谴责Google不负责任提前公开游戏漏洞

Epic Games 旗下的《堡垒之夜》已开启 Android 测试，但为避开 30% 的应用抽成，他们没有选择通过 Google Play 应用商店发布，而是直接在官网下载。

上周五，Google 披露了 Android 版《堡垒之夜》安装器出现的一个安全漏洞，攻击者随时可替换并且进行 Man-in-The-Disk 攻击。根据 Google 之前制定的规则，他们会先向相关开发负责人报告漏洞，待对方发布广泛可用的补丁后，或在90天后仍未解决问题时，Google 会对外公开此漏洞的详细信息。这次，在 Google 共享攻击演示视频后，Epic 迅速释出了补丁，并请求 Google 给予标准的 90 天时间，以确保用户更新。不过却被 Google 拒绝，并在补丁发布 7 天之后公开了漏洞。

为此，Epic 的 CEO Tim Sweeney 认为 Google 这么做就是为了报复，这种做法会对其 Android 用户造成不必要的风险：

Epic 真诚感谢 Google 对《堡垒之夜》安全性的深度审查，并及时向我们分享了他们发现的安全威胁，让我们能够迅速地发布安全修复。然而，Google 如此迅速地公开披露这一漏洞的技术细节是不负责任的，许多安装游戏的用户仍未更新，者仍具威胁。我们的一位安全专家曾请求 Google 推迟公开披露此漏洞细节，希望给予业界标准的90天，以让用户拥有更长的更新时间。但 Google 拒绝了。Google 对信息安全的分析值得感激，并有利于整个 Android 平台发展，但强大的 Google 应当更有原则地遵守披露时间，而不是危及我们的用户。这可能会被视为针对我们绕开 Google Play 发行游戏的公关回应。

截至发稿前，Google 未对此事发表评论。

来源：BBCNEWS  编译：开源中国