Fortnite fuori da Google Play, i rischi per gli utenti Android

 

Fortnite è un conosciutissimo gioco per PC, Mac, XBox One, Playstation 4 e iOS che vanta oltre 125 milioni di giocatori. La versione per Android sarà rilasciata fuori dal marketplace di Google (Google Play). La ragione è squisitamente commerciale, il CEO di Epic Games (l’azienda che produce il gioco) Tim Sweeney ha indicato come uno dei motivi principali il margine del 30% che Google tratterrebbe per sé da ogni vendita del gioco. Secondo Sweeney è troppo alto, quindi gli utenti Android dovranno scaricare il gioco direttamente dal sito di Epic Games.

Ed è qui che la notizia diventa un problema di cybersecurity. Come molti utenti Android sapranno, perché è stato ripetuto fino allo sfinimento, uno dei pilastri della sicurezza su Android è quello di scaricare sempre le app dai marketplace ufficiali, e non cambiare mai i parametri di sicurezza sul proprio smartphone che consentirebbero l’installazione delle applicazioni scaricate fuori da tali marketplace. Nonostante Google Play non sia esente da app malevole, è comunque un walled garden, un ecosistema chiuso dove vi è maggiore sicurezza rispetto al mare aperto del web.

Costringere i giocatori a modificare le impostazioni di sicurezza, “aprendo” i loro smartphone ad app scaricate fuori dai marketplace, li espone a molteplici rischi di sicurezza:

  • si incrina la regola fondamentale di scaricare solo app da Google Play e da marketplace fidati, un mantra di sicurezza che è semplice da comunicare e da far comprendere agli utenti mobile;
  • aumenteranno i phishing riguardanti versioni fake di Fortnite, che peraltro già esistono, ma oggi dato che Fortnite effettivamente si scaricherà fuori da Google Play sarà meno facile distinguere il falso dal legittimo;
  • quanti utenti – dopo aver regolarmente installato il gioco – si ricorderanno di riportare le impostazioni di sicurezza dei propri smartphone ai parametri di default? Chi non lo farà lascerà il suo dispositivo vulnerabile. Infatti solo poco più di un utente su dieci possiede l’ultima versione di Android, che consente di “rilassare” le impostazioni di sicurezza a seconda dell’app, tutti gli altri possono solo aprire o chiudere l’intero sistema, esponendolo ai rischi di installazioni malevole;
  • Fortnite potrebbe essere seguito da altri software famosi che non intendono lasciare il 30% dei loro ricavi a Google, in quel caso inizieremo a vedere altre app note rompere la barriera del marketplace e chiedere ai propri utenti di disattivare (temporaneamente) i parametri di sicurezza dei propri smartphone per scaricare il software.

Come se non bastasse, qualche giorno fa i ricercatori di Google hanno segnalato a Epic Games una vulnerabilità nell’installer di Fortnite per Android che potrebbe consentire a qualsiasi altra app sul proprio telefono di eseguire attacchi Man-in-the-disk, consentendo ad esempio di installare spyware o rubare file. Epic Games ha rilasciato una patch, ma non è riuscita a evitare l’imbarazzo per il pessimo timing.

Non giudico le scelte di business di Epic Games. Anzi, se Google si ostina a chiedere il 30% di margine a tutti in futuro potremmo vedere altri nomi noti saltare il fosso e rilasciare software fuori dal marketplace. Questo trend contribuirà però a rendere i device mobili meno sicuri, esponendo gli utenti a maggiori rischi di attacchi phishing e malware.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.