Pierwszy instalator Forticite firmy Epic pozwolił hakerom na ciche pobieranie i instalowanie czegokolwiek na telefonie z Androidem

Google właśnie ujawniło publicznie, że odkryło niezwykle poważną lukę w pierwszym instalatorze Epic Fortnite dla Androida, który pozwalał dowolnej aplikacji na telefonie pobierać i instalować cokolwiek w tle, w tym aplikacje z pełnymi uprawnieniami, bez wiedzy użytkownika. Zespół ds. Bezpieczeństwa Google po raz pierwszy ujawnił lukę w zabezpieczeniach Epic Games 15 sierpnia i od tego czasu publicznie opublikował tę informację po potwierdzeniu przez Epic, że luka została usunięta.

Krótko mówiąc, był to dokładnie taki exploit, którego obawiał się Android Central i inni w przypadku tego rodzaju systemu instalacyjnego. Oto, co musisz wiedzieć o luce i jak upewnić się, że jesteś bezpieczny.

Jaka jest luka i dlaczego jest taka zła?

Kiedy pobierasz „Fortnite”, tak naprawdę nie pobierasz całej gry, najpierw pobierasz Instalator Fortnite. Instalator Fortnite to prosta aplikacja, którą pobierasz i instalujesz, a następnie pobiera pełną grę Fortnite bezpośrednio z Epic.

Instalator Fortnite był łatwy do wykorzystania, aby przejąć prośbę o pobranie pełnej gry.

Problem, jak odkrył zespół bezpieczeństwa Google, polegał na tym, że Instalator Fortnite był bardzo łatwy do wykorzystania, aby przejąć prośbę o pobranie Fortnite z Epic i pobrać cokolwiek po naciśnięciu przycisku, aby pobrać grę. Jest to tak zwany atak typu „man-in-the-disk”: aplikacja na telefonie szuka próśb o pobranie czegoś z Internetu i przechwytuje tę prośbę o pobranie czegoś innego, bez wiedzy o oryginalnej aplikacji do pobierania. Jest to możliwe wyłącznie dlatego, że Instalator Fortnite został zaprojektowany niepoprawnie - Instalator Fortnite nie ma pojęcia, że ​​po prostu ułatwił pobieranie szkodliwego oprogramowania, a stuknięcie „uruchom” nawet uruchamia złośliwe oprogramowanie.

Aby zostać wykorzystanym, musisz mieć zainstalowaną w telefonie aplikację, która szukałaby takiej luki - ale biorąc pod uwagę popularność Fortnite i oczekiwanie na wydanie, jest bardzo prawdopodobne, że istnieją tam niesmaczne aplikacje, które są robienie właśnie tego. Wiele razy złośliwe aplikacje instalowane na telefonach nie mają ani jednego exploita, mają do przetestowania całą masę znanych luk, a jednym z nich może być ten rodzaj ataku.

Jednym dotknięciem możesz pobrać złośliwą aplikację, która ma pełne uprawnienia i dostęp do wszystkich danych w telefonie.

Tutaj sprawy stają się naprawdę złe. Ze względu na sposób, w jaki działa model uprawnień Androida, nie będziesz musiał akceptować instalacji aplikacji z „nieznanych źródeł” po czasie, w którym zaakceptowałeś tę instalację dla Fortnite. Ze względu na sposób działania tego exploita, podczas procesu instalacji nic nie wskazuje na to, że pobierasz cokolwiek innego niż Fortnite (a Fortnite Installer też nie ma wiedzy), podczas gdy w tle instalowana jest zupełnie inna aplikacja. Wszystko to dzieje się w oczekiwanym toku instalacji aplikacji z Instalatora Fortnite - akceptujesz instalację, ponieważ uważasz, że instalujesz grę. W szczególności na telefonach Samsung, które pobierają aplikację z Galaxy Apps, sytuacja wygląda nieco gorzej: nie ma nawet pierwszego monitu o zezwolenie z „nieznanych źródeł”, ponieważ Galaxy Apps jest znanym źródłem. Idąc dalej, ta aplikacja, która została właśnie zainstalowana w trybie dyskretnym, może zadeklarować i uzyskać wszelkie możliwe uprawnienia bez Twojej dalszej zgody. Nie ma znaczenia, czy masz telefon z Androidem Lollipop lub Android Pie, czy też wyłączyłeś „nieznane źródła” po zainstalowaniu Fortnite Installer - jak tylko go zainstalujesz, możesz zostać potencjalnie zaatakowany.

Strona Google do śledzenia problemów związana z exploitem zawiera szybkie nagranie ekranu, które pokazuje, jak łatwo użytkownik może pobrać i zainstalować Instalator Fortnite, w tym przypadku ze sklepu Galaxy Apps Store, i myśleć, że pobiera Fortnite podczas pobierania i instalowania złośliwego oprogramowania aplikacja z pełnymi uprawnieniami - kamera, lokalizacja, mikrofon, SMS, pamięć i telefon - zwana „Fortnite”. Zajmuje to kilka sekund i nie wymaga interakcji użytkownika.

Tak, to całkiem złe.

Jak możesz się upewnić, że jesteś bezpieczny

Na szczęście Epic szybko naprawił exploita. Według Epic, exploit został naprawiony mniej niż 48 godzin po otrzymaniu powiadomienia i został wdrożony na każdym Instalatorze Fortnite, który został wcześniej zainstalowany - użytkownicy muszą po prostu zaktualizować Instalatora, co jest sprawą jednorazową. Instalator Fortnite, który przyniósł poprawkę, to wersja 2.1.0, którą można sprawdzić, uruchamiając Instalator Fortnite i przechodząc do jego ustawień. Jeśli z jakiegokolwiek powodu chcesz pobrać wcześniejszą wersję Fortnite Installer, przed instalacją Fortnite wyświetli się monit o zainstalowanie wersji 2.1.0 (lub nowszej).

Jeśli masz wersję 2.1.0 lub nowszą, jesteś bezpieczny przed tą szczególną podatnością.

Epic Games nie opublikowało informacji o tej usterce poza potwierdzeniem, że została naprawiona w wersji 2.1.0 instalatora, więc nie wiemy, czy została aktywnie wykorzystana na wolności. Jeśli Twój instalator Fortnite jest aktualny, ale nadal martwisz się, czy ta luka dotyczy, możesz odinstalować Fortnite i Instalator Fortnite, a następnie ponownie przejść proces instalacji, aby upewnić się, że instalacja Fortnite jest legalna. Możesz (i powinieneś) również przeprowadzić skanowanie za pomocą Google Play Protect, aby, mam nadzieję, zidentyfikować złośliwe oprogramowanie, jeśli zostało zainstalowane.

Rzecznik Google wypowiedział się na temat tej sytuacji:

Bezpieczeństwo użytkowników jest naszym najwyższym priorytetem, aw ramach naszego proaktywnego monitorowania pod kątem złośliwego oprogramowania zidentyfikowaliśmy lukę w instalatorze Fortnite. Natychmiast powiadomiliśmy Epic Games, które naprawiły problem.

Epic Games podał następujący komentarz od CEO Tima Sweeneya:

Firma Epic naprawdę doceniła starania Google o przeprowadzenie szczegółowego audytu bezpieczeństwa Fortnite natychmiast po naszej premierze na Androida oraz udostępnienie wyników firmie Epic, abyśmy mogli szybko wydać aktualizację w celu naprawienia wykrytej przez nich usterki.

Jednak Google nieodpowiedzialnie ujawnił publicznie szczegóły techniczne usterki tak szybko, podczas gdy wiele instalacji nie zostało jeszcze zaktualizowanych i nadal jest podatnych na atak.

Za namową inżyniera bezpieczeństwa Epic zwrócił się do Google o opóźnienie publicznego ujawnienia informacji przez typowe 90 dni, aby dać czas na szerszą instalację aktualizacji. Google odmówił. Możesz przeczytać wszystko na

Doceniamy wysiłki Google w zakresie analizy bezpieczeństwa i przynoszą one korzyści platformie Android, jednak firma tak potężna jak Google powinna ćwiczyć bardziej odpowiedzialny czas ujawniania informacji niż ten i nie stanowić zagrożenia dla użytkowników w ramach działań przeciwdziałających PR przeciwko dystrybucji Forticite przez Epic poza Google Play.

Być może Google rzucił rekina na myśl Epicowi, ale ten sposób postępowania wyraźnie przestrzegał zasad Google dotyczących ujawniania luk w zabezpieczeniach typu 0day.

Czego nauczyliśmy się z tego procesu

Powtórzę coś, co zostało powiedziane w Android Central od lat: niezwykle ważne jest instalowanie aplikacji tylko od zaufanych firm i programistów. Exploit ten, mimo że jest tak zły, jak wymagał, nadal wymaga zainstalowania zarówno Instalatora Fortnite, jak i innej złośliwej aplikacji, która spowodowałaby, że żądanie pobrania bardziej szkodliwego szkodliwego oprogramowania. Dzięki ogromnej popularności Fortnite istnieje duża możliwość, że koła te się pokrywają, ale nie musi ci się to zdarzyć.

Jest to dokładnie ten rodzaj luki, o którą się martwiliśmy, i zdarzyło się to pierwszego dnia.

Jedną z naszych obaw od samego początku, gdy zdecydowaliśmy się zainstalować Fortnite poza Sklepem Play, było to, że popularność gry przezwycięży ogólny rozsądek ludzi, aby trzymać się Play Store dla swoich aplikacji. Jest to rodzaj luki, która najprawdopodobniej zostałaby złapana w procesie recenzji podczas przechodzenia do Sklepu Play i zostałaby naprawiona przed pobraniem dużej liczby osób. A dzięki Google Play Protect na twoim telefonie Google byłby w stanie zdalnie zabić i odinstalować aplikację, gdyby kiedykolwiek wyszła na wolność.

Ze swojej strony Google nadal udało się złapać tę lukę, mimo że aplikacja nie jest dystrybuowana za pośrednictwem Sklepu Play. Wiemy już, że Google Play Protect może skanować aplikacje na telefonie, nawet jeśli zostały one zainstalowane bezpośrednio z Internetu lub innego sklepu z aplikacjami. W tym przypadku proces ten został wsparty przez utalentowany zespół bezpieczeństwa w Google, który znalazł lukę i zgłosił do dewelopera. Proces ten zwykle przebiega w tle, bez większych fanfar, ale kiedy mówimy o aplikacji takiej jak Fortnite z prawdopodobnie dziesiątkami milionów instalacji, pokazuje to, jak poważnie Google traktuje bezpieczeństwo w Androidzie.

Aktualizacja: ten artykuł został zaktualizowany o wyjaśnione informacje o exploicie, a także komentarz dyrektora generalnego Epic Games, Tima Sweeneya.