La primera versión de Fortnite para Android abrió la puerta al malware

La decisión de Epic de no ofrecer la versión para Android de su juego Fortnite Battle Royale en la tienda Google Play despertó dudas sobre la seguridad al abrir la puerta a posible instalación de apps falsas que se hicieran pasar por el juego y dejaba el teléfono desprotegido, ya que era necesario desactivar una protección de seguridad que evita que se instalen programas de origen desconocido y de no volverse a activar podía instalarse malware en el terminal y los usuarios también tendrían menos protección a la hora de reclamar por pagos indebidos dentro del juego. En los móviles con Android 8.0 o posterior no es necesario reactivar dicha protección, pero sí con las versiones anteriores del sistema operativo.

Epic Games decidió saltarse la tienda para evitar pagar el 30% de los beneficios del juego a Google en calidad de comisión, lo que puede suponer una cantidad de dinero muy jugosa teniendo en cuenta que la versión para iOS recauda cada día más de un millón de euros.

Nada más estar disponible la versión beta del juego para su descarga en la página de Epic, Google detectó un fallo que abría la puerta a la instalación de malware en los teléfonos que usaran el instalador de Epic. Según publicó un ingeniero de Google en issuetracker el mismo 15 de agosto, en los teléfonos Samsung Galaxy que tenían la exclusiva del juego durante las primeras horas, la API específica de los Galaxy descargaba la APK en el almacenamiento externo y comprobaba si la aplicación descargada tenía el pack llamado com.epicgames.fortnite, pero al hacerlo en el almacenamiento externo se podría sustituir el juego real nada más descargarse por una APK falsa sin que el dueño del teléfono se diera cuenta. El post que informaba de este error indicaba también que esto se hubiera evitado usando el almacenamiento interno del teléfono. Siete minutos después Epic Games contestó diciendo que estaban comprobando ese error y trabajando en su solución, que llegó el día siguiente.

El 17 de agosto Epic Games pidió que Google no difundiese esta vulnerabilidad hasta transcurridos 90 días, lo que suele ser práctica habitual, para que todos los usuarios tuviesen tiempo de descargar el parche antes de que los hackers utilizaran este fallo, pero en este caso Google ha decidido no tener esta deferencia y dio a conocer el fallo siete días después. El director del estudio, Tim Sweeney, mostró en declaraciones a Mashable su desacuerdo con Google: «Epic aprecia el esfuerzo de Google al realizar un estudio en profundidad de Fortnite justo tras nuestro lanzamiento en Android y por compartir los resultados con Epic para que pudiéramos sacar rápido una actualización que resolviese el fallo que habían descubierto. No obstante, Google actuó de forma irresponsable al hacer públicos los detalles técnicos del fallo tan pronto, cuando muchos no se lo habían instalado la actualización y eran todavía vulnerables».