Google oppdaget episk sikkerhetsproblem i Epic's Fortnite Android Installer

1870
Joshua Clarke

Google har avslørt at det oppdaget et alvorlig sårbarhet i Epics første Fortnight-installasjonsprogram for Android, og muligens tillater enhver app med WRITE_EXTERNAL_STORAGE-tillatelse å erstatte APK umiddelbart etter at nedlastingen er fullført og fingeravtrykket er bekreftet.

I følge et innlegg fra en Googler tillot feilen nettkriminelle å gjøre det 'Enkelt' utføre et angrep ved hjelp av en FileObserver, hvoretter Fortnite Installer fortsetter å installere den erstatte (falske) APK.

Som det kan sees fra tråden, varslet Google tilsynelatende Epic om oppdagelsen den 15. august, hvoretter Epic hadde 90 dager på seg å reparere feilene, i tråd med standard bransjepraksis. Som det viser seg, ble sårbarheten oppdatert på bare et par dager, med selskapets representant som kunngjorde distribusjonen av oppdateringen den 17..

I følge Epic InfoSec vil oppdateringen endre standard APK-lagringskatalog fra ekstern til intern lagring, og dermed bidra til å forhindre MITD-angrep (Man-in-the-Disk) under installasjonsflyten.

Det som er interessant er at Epic fremdeles ba Google om å ikke avsløre feilen i hele 90-dagersperioden, slik at brukerne har tid til å lappe installatørene sine. Imidlertid kom Google ikke ombord med tidsrammen, og endte opp med å åpne tråden for publikum bare syv dager etter at oppdateringen ble distribuert, i tråd med selskapets standard informasjonspraksis..

Epic Games-sjef Tim Sweeney uttrykte sin misnøye med Googles tidlige avsløring og kalte det en 'uansvarlig' avgjørelse som kan true uskyldige brukere. I en uttalelse til Android Central sa han, "Det var uansvarlig av Google å offentliggjøre de tekniske detaljene i feilen så raskt, mens mange installasjoner ennå ikke var oppdatert og fortsatt var sårbare".

“Googles innsats for sikkerhetsanalyse er verdsatt og kommer Android-plattformen til gode, men et selskap som er så kraftig som Google, bør øve mer ansvarlig informasjonstidspunkt enn dette, og ikke sette brukere i fare i løpet av sin mot-PR-innsats mot Epics distribusjon av Fortnite utenfor Google. Spille"

For å forstå hvorfor Epic og Google er så helt misfornøyde med hverandre akkurat nå, må man vite den nylige bakgrunnshistorien rundt lanseringen av Fortnite på Android. Selv da spillet endelig ble lansert på Android lenge etter debut på iOS, bestemte Epic og Tencent seg for å distribuere spillet gjennom sin egen plattform, i stedet for via Google Play Store..

Det var i stor grad en forretningsbeslutning for spillets utgivere, som ikke ønsket å dele inntektene fra spillet med Google, som tar 30 prosent av alle kjøp gjort gjennom Play Store. Det sier seg selv at teknologigiganten ikke ble underholdt av avgjørelsen, gitt at den tilsynelatende taper $ 50 millioner bare i år på grunn av situasjonen.


Ingen har kommentert denne artikkelen ennå.