Depuis le mois d'août, le célèbre jeu est disponible sur Android, mais pas sur le Play Store. Une manière pour Epic Games de ne pas reverser une commission à Google sur les transactions (ce que la société fait sur iOS).
Problème, le jeu était vulnérable à l'attaque « Man-in-the-Disk » présentée par Check Point durant la DEF CON 2018 (lire notre compte rendu). L'APK téléchargée sur le stockage externe pouvait en effet être modifiée par une autre application avant son installation, ouvrant la voie à la mise en place d'un programme malveillant.
La faille a été notifiée à Epic Games le 15 août, qui l'a corrigée le 17 août avec la publication d'une nouvelle version de l'application. Le stockage externe est délaissé pour le stockage interne, empêchant de fait cette attaque.
La situation se complique ensuite. Conformément à sa politique de divulgation des failles, elle est rendue publique une semaine plus tard, soit le 24 août (le délai est de 90 jours si elle n'est pas corrigée).
L'éditeur avait pris les devants en demandant une rallonge du délai à 90 jours pour que « les utilisateurs aient le temps de patcher leurs appareils ». Demande refusée par le géant du Net.
L'histoire continue sur Twitter, notamment par l'intermédiaire de Tim Sweeny (fondateur d'Epic Games) : « Nous avons demandé à Google d'attendre jusqu’à ce que la mise à jour soit plus largement installée. Ils ont refusé, créant un risque inutile pour les utilisateurs Android afin d'obtenir des points bon marché de relations publiques ».
Cette problématique n'est pas nouvelle et Google s'est déjà écharpé publiquement sur le sujet avec Microsoft à de nombreuses reprises.
