No ha habido un pequeño brote de caos en los terrenos móviles recientemente, todo debido a un juego asombrosamente popular llamado Fortnite.

Aquí está el problema: las personas se refieren a Android como «plataforma abierta» y dicen que, en teoría, puedes hacer lo que quieras con ella. En la práctica, compras un teléfono Android y luego estás encerrado en aplicaciones de la tienda Google Play. Puede desactivarlo para permitir instalaciones externas, pero en general no es aconsejable, ya que deja la puerta abierta para instalaciones potencialmente dudosas.

Puede ahondar en discusiones sobre si Android es de código abierto o no, pero la conversación es un poco más complicada y matizada que simplemente responder «sí» o «no».

Con toda la discordia anterior arrojada a un crisol de fusión y girando, Fortnite entra y hace sonar unas cuantas jaulas más.

¿Que pasó?

Los desarrolladores, Epic, decidieron que preferirían ofrecer el juego en un dispositivo móvil fuera de Google Play , lo que aumenta drásticamente la cantidad de ingresos no mordisqueados por Google. Hay varios problemas potenciales con esto:

  • Tener hijos habilitando la opción «permitir instalaciones desde fuentes desconocidas» en un Android es una receta para el desastre. No solo significa que muchos de ellos terminarán descargando por error una aplicación deshonesta , sino que también significa que esos teléfonos ahora son menos seguros que los dispositivos Android completamente bloqueados que existen.
  • Como se señaló en Twitter, incluso los niños con instalaciones legítimas de Fortnite a bordo eventualmente caerán en algo desagradable  porque el teléfono está chapoteando en el lodo del malware metafórico.
  • Todo se reduce a qué tan bien promocionado es el enlace de descarga oficial, y qué tan eficientemente los desarrolladores del juego le dicen a las personas que solo agarren el juego de ese enlace específico.
  • Epic necesita asegurarse de que no sean víctimas de estafas sofisticadas de SEO que apuntan a enlaces fuera de su sitio y hacia descargas malas, y también que la seguridad de su sitio es de primera clase. Si la página está en peligro, un enlace de descarga deshonesto podría estar esperando en las alas.

Así es como se veía el panorama inicial poco después del anuncio de Epic, y muchas cosas predichas rápidamente saldrían terriblemente mal.

¿Las cosas salieron terriblemente mal?

Ciertamente lo hicieron. Al final, ni siquiera fue una aplicación deshonesta que causó caos, sino un problema encontrado con el instalador de Fortnite  que permitió la posibilidad de que las aplicaciones deshonestas a bordo secuestraran el instalador e instalaran su propio junkware. El llamado ataque » Hombre en el disco » busca aplicaciones que no bloqueen el almacenamiento externo tan bien como deberían, y rápidamente se pone a trabajar explotando cosas que suceden bajo el capó.

El alboroto sobre el kerfuffle del instalador se completó con un poco de un debate feroz en Twitter , porque eso es lo que sucede con todo en la vida ahora.

¿Qué pasa después?

Les guste o no, Epic es ahora el abanderado del «desarrollador de aplicaciones que se sale de la naturaleza (increíblemente rica e insegura)». No creo que una aplicación de Android haya atraído tanta atención antes, y eso es sin lanzando el ángulo de instalación de Google Play a la mezcla.

Lo que también les atraviesa es darse cuenta de que mientras continúen fuera del ecosistema de Google Play, las historias volverán a perseguirlos en cuanto a instalaciones de malware que se hacen pasar por reales, trucos de ingeniería social para convencer a los niños de que descarguen datos poco fiables. Complementos de Fortnite de servidores rusos, y posibles envenenamientos SEO que llevan a los aspirantes a jugadores a descarriarse.

Google Play ciertamente no es perfecto , y se han encontrado muchas aplicaciones deshonestas acechando a través de los años. Creo que la mayoría de los profesionales de seguridad argumentarían que todavía es mucho más arriesgado desconectar la prohibición desconocida de instalación de la fuente de lo que es visitar Play y tomar una aplicación.

Tampoco separemos Epic en este caso; no son solo los desarrolladores de juegos los que dan pasos tentativos en el mundo de las instalaciones desconocidas, incluso los proveedores de teléfonos celulares lo hacen. Hace unos cuatro o cinco años, cambié mi teléfono y obtuve un paquete con un conocido minorista del Reino Unido. Parte del trato fue «seis juegos gratis para tu Android». Suena genial, ¿verdad? Excepto que rápidamente me di cuenta de que para obtener los juegos, tenía que habilitar las instalaciones de origen desconocidas y descargar los seis archivos .APK directamente desde el sitio web del proveedor del teléfono.

En ningún momento alguien dijo nada acerca de cómo apagar una función de seguridad del teléfono que acababa de vender era una mala idea. Nada en la literatura provista menciona nada más allá, «Guau, apagar esto es una muy buena idea, ¡juegos gratis! ¡Wow! «Esto también ocurre en un momento en el que escribía regularmente sobre descargas falsas de Angry Birds / Flappy Bird alojadas en sitios web rusos.

Una vez instalados (a través de arrastrar y colocar desde el escritorio al móvil a través de la magia de los cables USB), esos juegos falsos con temas de pájaros normalmente intentarían realizar engaños de SMS con tarifas superiores. Esto solo funcionó porque algunas personas estaban corriendo con instalaciones de origen desconocidas permitidas, y todavía tendrían que intentar ingeniar socialmente aquellas que no estaban encendidas.

Instalaciones desconocidas: tan caliente en este momento

Ahora estamos en un punto en el que las instalaciones de fuentes desconocidas no solo son convencionales, sino que actualmente están conectadas a las ruedas de un monstruo de juego absoluto. Hay graves problemas de seguridad que Epic necesita considerar, y va a ser fascinante mirar hacia atrás en seis a 12 meses y decidir si promocionar instalaciones de fuentes desconocidas de esta manera causó una vorágine de dolores de cabeza de seguridad por todos lados, o una gran cantidad de » absolutamente nada sucedió mucho «.

Si es el último, puede apostar que más desarrolladores querrán aprovechar este método. Entonces, el panorama de amenazas se volverá mucho más complicado en la tierra móvil.