
Het lijkt erop dat de komst van Fortnite via alternatieve middelen voor de applicatiewinkel van de techgigant Google vanaf het begin ernstige veiligheidsproblemen heeft veroorzaakt. Ja, volgens de laatste rapporten is er onlangs een kritieke fout ontdekt in het bekende en populaire Battle Royale-spel Fortnite voor Android waarmee hackers malware kunnen installeren.
laten zien
Door deze kritieke fout in de Fortnite Android-app kunnen hackers malware installeren
De komst van Fortnite via alternatieve middelen voor de applicatiewinkel van de techgigant Google heeft vanaf het begin ernstige veiligheidsproblemen doen rijzen. Als aanvankelijk werd gedacht dat het probleem bij gebruikers zou zijn, is de waarheid dat blijkbaar de installatietoepassing zelf van Epic Games ernstige beveiligingsproblemen heeft.
De fout is ontdekt door de techgigant Google en lijkt alleen van invloed te zijn op de smartphones van de Zuid-Koreaanse gigant Samsung waarop deze game is geĆÆnstalleerd. Het installeren van nep-applicaties lijkt heel eenvoudig met deze fout.
De bekende en populaire Battle Royale-game Fortnite is de game van het moment, maar de Epic Game-keuzes voor de distributie waren niet de beste. Door de game buiten de Google Play Store te plaatsen, moeten spelers de deuren openen om software van externe bronnen te installeren, wat niet aan te raden is.
Nu, als resultaat van een grondige evaluatie van de techgigant Google zelf, is bewezen dat het Fortnite-installatieprogramma kan worden omzeild en gebruikt om nep- en externe applicaties op dit installatieprogramma te installeren.
De onthulling van de fout is gedaan door een ingenieur van de techgigant Google en openbaar gemaakt, en beschrijft de eenvoudige vorm van uitbuiting.
Hier wordt het probleem uitgelegd op de Issue Tracker-website van de techgigant Google: –
āDe Fortnite APK (com.epicgames.fortnite) wordt gedownload door de Fortnite Installer (com.epicgames.portal) naar externe opslag:
dream2lte:/ $ ls -al /sdcard/Android/data/com.epicgames.portal/files/downloads/fn.4fe75bbc5a674f4f9b356b5c90567da5.Fortnite/
totaal 73360
drwxrwxāx 2 u0_a288 sdcard_rw 4096 2018-08-15 14:38 .
drwxrwxāx 3 u0_a288 sdcard_rw 4096 2018-08-15 14:38 ..
-rw-rwā- 1 u0_a288 sdcard_rw 75078149 2018-08-15 14:38 x1xlDRyBix-YbeDRrU2a8XPbT5ggIQ.apk
-rw-rwā- 1 u0_a288 sdcard_rw 31230 2018-08-15 14:38 x1xlDRyBix-YbeDRrU2a8XPbT5ggIQ.manifest
Elke app met de machtiging WRITE_EXTERNAL_STORAGE kan de APK onmiddellijk vervangen nadat de download is voltooid en de vingerafdruk is geverifieerd. Dit is eenvoudig te doen met FileObserver. Het Fortnite-installatieprogramma gaat verder met het installeren van de vervangende (nep) APK.
Op Samsung-apparaten voert de Fortnite Installer de APK-installatie geruisloos uit via de privé Galaxy Apps API. Deze API controleert of de APK is geïnstalleerd met de pakketnaam com.epicgames.fortnite. Bijgevolg kan de nep-APK met een overeenkomende pakketnaam stil worden geïnstalleerd.
Als de nep-APK een targetSdkVersion van 22 of lager heeft, krijgt deze alle toestemmingen die tijdens de installatie worden aangevraagd. Door dit beveiligingslek kan een app op het apparaat het Fortnite-installatieprogramma kapen om in plaats daarvan een nep-APK te installeren met alle machtigingen waarvoor normaal openbaarmaking door de gebruiker vereist is.
Van wat wordt gezien, zal het voor de aanvaller voldoende zijn om de naam van de applicatie te veranderen in dezelfde als die van Fortnite en de installatie van software wordt gedaan zonder enige controle.
Epic Games heeft al op dit probleem gereageerd en heeft zelfs zijn applicatie bijgewerkt om dit probleem te omzeilen. De CEO is ook publiekelijk naar buiten gekomen om op deze bevinding te reageren en bekritiseert de techgigant Google omdat hij het zo snel openbaar heeft gemaakt.
āEpic waardeerde oprecht de inspanning van de techgigant Google om een āādiepgaande beveiligingsaudit van Fortnite uit te voeren onmiddellijk na onze release op Android, en de resultaten te delen met Epic, zodat we snel een update konden uitbrengen om het ontdekte gebrek te verhelpen.
Het was echter onverantwoord van de techgigant Google om de technische details van de fout zo snel openbaar te maken, terwijl veel installaties waren geüpdatet en nog kwetsbaar waren.ā
Dit is een ander punt tegen de beslissing van Epic Games. Als het in de Play Store was geweest, waren deze maatregelen waarschijnlijk eerder geƫvalueerd en zou het spel de veiligheid van de Samsung-smartphonegebruikers niet in gevaar brengen.
Dus, wat vind je hiervan? Deel eenvoudig al uw mening en gedachten in het commentaargedeelte hieronder.