Troski o bezpieczeństwo Fortnite były jak najbardziej uzasadnione. Poważna luka w bezpieczeństwie

0

fortnite

Decyzja Epic Games o tym, by nie publikować Fortnite w Google Play odbiła się szerokim echem — to jedna z niewielu dużych gier, która do tej pory odważyła się ominąć ten podstawowy sklep z aplikacjami. Powody tej decyzji nie były dla nikogo tajemnicą — od początku wiadomo, że chodzi o pieniądze. Twórcy kultowej strzelaniny mają na tyle duży rozgłos, że mogą sobie pozwolić na ominięcie tego ważnego kanału dystrybucji. Od samego początku największą obawą była… kwestia bezpieczeństwa. Okazało się, że nie bez powodu — Google wykryło ogromną lukę związaną z bezpieczeństwem w *.apk Fortnite. Na szczęście reakcja była natychmiastowa — i Epic Games w mgnieniu oka załatało lukę.

Google znalazło lukę w bezpieczeństwie Fortnite na Androida

Kiedy aplikacja zaczyna pobierać APK z Fortnite — sprawdza podpis, by upewnić się, że nie jest to żaden zmodyfikowany plik i wszystko odbywa się zgodnie z planem. Niestety, nie sprawdzał on czy plik jest poprawny — liczył się podpis i nazwa dokumentu. I jeden z inżynierów Google wytknął ekipie, że złośliwe oprogramowanie z dostępem  WRITE_EXTERNAL_STORAGE mogło dzięki temu w mgnieniu oka podmienić APK Fortnite chwilę po tym, jak zostalo ono pobrane. I to na dowolny plik — także taki, który mógłby wyrządzić spore szkody.

On Samsung devices, the Fortnite Installer performs the APK install silently via a private Galaxy Apps API. This API checks that the APK being installed has the package name com.epicgames.fortnite. Consequently the fake APK with a matching package name can be silently installed.

If the fake APK has a targetSdkVersion of 22 or lower, it will be granted all permissions it requests at install-time. This vulnerability allows an app on the device to hijack the Fortnite Installer to instead install a fake APK with any permissions that would normally require user disclosure.

Reakcja Epic Games w tej sprawie była natychmiastowa — dzień po tym, jak wskazano to uchybienie, nowa wersja instalatora była już rozsyłana do użytkowników, aby uniknąć takich wpadek. No cóż — jakoś trudno jest mi nie dodać do tego wszystkiego „a nie mówiłem”?

Źródło

Do
góry