Fortnite的Android安装程序附带了Epic安全漏洞

Fortnite的Android安装程序附带了Epic安全漏洞

谷歌 已经在Epic Games上以极大的方式回击,Epic Games本月早些时候决定通过自己的网站而不是谷歌的Play商店为Android提供非常受欢迎的Fortnite 。不幸的是,安装程序存在一个非常危险的安全漏洞,它允许恶意行为者安装他们想要安装的任何软件,谷歌第一时间指出这个令人震惊的错误。

通过一个简短的解释为什么会发生这种情况,Epic解释了它何时宣布计划“在Android上的软件资源之间进行竞争”会很好。并且最好的“基于功绩取得成功。”当然,每个人都明白,他的意思是Epic不想与谷歌分享其摇钱树的收入,而谷歌占据了应用内购买量的30%。

许多人警告说这是一个安全风险,原因有几个,例如用户必须启用来自未知来源的应用程序安装 - 大多数用户没有理由这样做。Play商店还有其他可见和其他功能,对用户有用。

可以理解的是,Google对Epic的游戏并不感兴趣,这无疑在决定审查下载和安装过程中起了作用 - 尽管我确信其用户的安全性也是一个激励因素。你不知道吗,他们发现了一个巨大的蝙蝠。

在Fortnite下载器上线一周后发布的帖子中,一位名叫Edward的Google工程师解释说,安装程序基本上允许攻击者安装他们想要的任何东西。

Fortnite安装程序基本上下载了一个APK(Android应用程序包),在本地存储,然后启动它。但是因为它存储在共享的外部存储器上,所以坏人可以交换一个新文件来启动它,这就是所谓的“磁盘中的人”攻击。

并且因为安装程序只检查了APK的名称是否正确,只要攻击者的文件名为“com.epicgames.fortnite”,就会安装它!由于未知源安装策略的工作原理,如果他们需要,也可以静默地使用许多额外权限。不好!

爱德华指出,这可以很容易地修复,并且在一个非常低调的阴影投掷中有助于链接到Android开发者网站上的页面,概述了Epic应该使用的基本功能。对于Epic的信誉,它的工程师立即跳出了这个问题,并在当天下午修复了工作并在下一个部署。Epic InfoSec随后要求Google在发布信息前等待90天。正如你所看到的,Google并没有感到慷慨。一周之后(今天是这样),这个漏洞已经在Google Issue Tracker网站上公布了......好吧,不是完全没有荣耀。真的,与荣耀相反,这似乎是谷歌警告任何可能的Play商店叛变者的方式,他们不会给予温和处理。

Epic Games首席执行官Tim Sweeney同样没有被人注意。在提供给Android Central的评论中 - 顺便说一下,预测这件事情会发生 - 他让公司承担其“不负责任”的决定“危及用户”的任务。

Epic真诚地感谢Google在Android上发布后立即对Fortnite进行深入的安全审核,并与Epic分享结果,以便我们能够快速发布更新以修复他们发现的漏洞。
然而,谷歌公开披露该漏洞的技术细节是不负责任的,而许多装置尚未更新,仍然容易受到攻击。
在我的敦促下,一位史诗安全工程师要求谷歌延迟公开披露90天的时间,以便有时间让更新得到更广泛的安装。谷歌拒绝了。您可以在https://issuetracker.google.com/issues/112630336上阅读所有内容
谷歌的安全分析工作受到赞赏并受益于Android平台,但像谷歌这样强大的公司应该实施比这更负责任的披露时间,并且在反对公关在Google Play之外发布Fortnite的反公关努力中不会危及用户。

事实上,公司真的应该尽量不要出于自私的原因来危害用户。

原文作者:Devin Coldewey 

翻译不易,转载注名