《堡垒之夜》的安卓版本因为要绕过Google Play商店而采取从Epic Games的官网下载安装包启动而备受关注，游戏茶馆也发布了相关信息。http://www.youxichaguan.com/news/18664.html

但现在看来，这个安装包才上线几天就出现了巨大的安全问题。

根据androidcentral发布的报道，谷歌公开指出了这个月初公布的《堡垒之夜》安装包存在着巨大的安全隐患，它能够让黑客悄无声息地在你的安卓手机上安装和下载任何东西，甚至包括一些完全授权的应用。谷歌的安全团队最先在8月15日就私下向Epic Games公司告知了这个问题，然后在Epic Games确认这个漏洞已经被修补后公开发布了这个消息。

那么这个漏洞究竟是什么？有什么危害呢？

从Epic的官网上下载《堡垒之夜》实际上并不是下载的游戏，玩家首先下载的是一个安装包小程序，而通过这个小程序就可以从Epic的网站直接下载完整版的游戏了。

问题在于，这个小程序很容易被利用来劫持用户从Epic官网下载《堡垒之夜》的请求，在你按下“下载游戏”的按钮时，转而下载其他任何东西。这是一种很典型的“磁盘人”攻击，就是一个APP潜伏在你的手机里，等待你发出想要从互联网上下载某个东西的请求时，它可以用下载另外一个东西来替代掉你的请求，而不是最初你想要下载的应用。

这种受到攻击的可能性是因为《堡垒之夜》的安装包设计的不恰当导致，它太过简单，以至于方便了恶意软件的下载却毫无察觉，在按下“启动下载”的时候甚至直接启动了恶意软件。

这样被攻击其实并不常见，因为你首先需要去下载一个在你手机里寻找下载请求的软件，但是考虑到《堡垒之夜》的火爆程度和发行的预期，可能有很多恶意软件都正在尝试这么做。

大多数时候被安装在手机里的恶意软件是没有一个特定的漏洞去使用的，他们有一整套的已知漏洞的预设，然后一个个地去测试是否可行，这只是其中一种攻击方式。

而危害在于，按照安卓系统的许可授权模式，当你接受了《堡垒之夜》的下载请求的时候，你是不会收到任何的信息告知你正在从一个“未知来源”下载一个软件的。在你的安装过程中，是不会有任何提示告诉你你下载的不仅是《堡垒之夜》，而且在你的内存中有一个完全不同的软件也在被安装中。这件事情就发生在通过《堡垒之夜》的下载器下载游戏的过程中，因为你认为你正在下载的是这个游戏，你接受了这个安装请求。

而在《堡垒之夜》安卓版首发的三星手机中，情况会变得有些更糟，当你从三星的应用商店Galaxy Apps下载的时候，连第一个你正在从“未知来源”下载东西的提示都不会有，因为三星应用商店是已知来源。而当这个程序安装好以后，可以不再需要你的进一步同意就可以获得所有授权，这个时候你安装过任何的防护软件像Android Lollipop或是Android Pie都是没有用的了，就算你把《堡垒之夜》的安装程序设置为“未知来源”也是没有用的了，当你一下载这个应用的时候，你的手机就可能已经被劫持了。

后续如何？

幸好Epic公司及时修复了这个漏洞，在这个漏洞被发现后，Epic公司在48小时内就修复了这个漏洞，并为之前已经下载了这个安装程序的用户提供了升级的版本，用户只需要一键就可以将原来的安装包升级。

Epic Games只确认了安装程序的2.1.0版本的漏洞已经被修复，并没有发布更多关于这个漏洞的信息了，不能够保证是否还有被积极使用的版本。如果你的《堡垒之夜》安装包已经及时更新到最新版本，但你仍然担心自己已经中招的话，你可以卸载掉已经下载的《堡垒之夜》游戏及其安装包，然后重新下载，这样可以确保你的安装程序已经是合乎规范的了。（你还可以通过Google Play Protecter来检测是否已经有恶意软件被安装上了）

一个谷歌公司的发言人称“用户的安全是第一位的，作为我们对于恶意软件的积极检测的一部分，我们发现了《堡垒之夜》安装程序的漏洞，我们立刻通知了Epic Games并且帮助他们解决了这个问题。”

此前，因为不满Google Play30%的收成，《堡垒之夜》安卓版选择绕过谷歌平台，采取从自己官网直接下载的方式，这一度成为了热议的话题，而这次谷歌发现这个漏洞并公开地发表各种声明，无疑是“扳回一城”，事实证明，老平台还是有老平台的底气的。