Innehållsförteckning:
- Vad är sårbarheten och varför är det så dåligt?
- Hur du kan se till att du är säker
- Vad vi lärde oss av denna process
Google har precis offentliggjort att den upptäckte en extremt allvarlig sårbarhet i Epics första Fortnite-installationsprogram för Android som gjorde att alla appar på din telefon kan ladda ner och installera någonting i bakgrunden, inklusive appar med fullständiga beviljade behörigheter, utan användarens vetskap. Googles säkerhetsteam avslöjade först sårbarheten privat för Epic Games den 15 augusti och har sedan släppt informationen offentligt efter bekräftelse från Epic att sårbarheten korrigerades.
Kort sagt, detta var exakt den typen av exploatering som Android Central och andra hade fruktat skulle inträffa med den här typen av installationssystem. Här är vad du behöver veta om sårbarheten och hur du kan se till att du är säker framöver.
Vad är sårbarheten och varför är det så dåligt?
När du går att ladda ner "Fortnite" laddar du inte ner hela spelet, du laddar ner Fortnite Installer först. Fortnite Installer är en enkel app som du laddar ner och installerar, som sedan laddar ner hela Fortnite-spelet direkt från Epic.
Fortnite Installer kunde lätt utnyttjas för att kapa begäran om att ladda ner hela spelet.
Problemet, som Googles säkerhetsteam upptäckte, var att Fortnite Installer var mycket lätt att utnyttja för att kapa begäran om att ladda ner Fortnite från Epic och istället ladda ner någonting när du trycker på knappen för att ladda ner spelet. Det är vad som kallas en "man-in-the-disk" -attack: en app på din telefon letar efter förfrågningar om att ladda ner något från internet och avbryter den begäran om att ladda ner något annat istället, okänt till den ursprungliga nedladdningsappen. Detta är möjligt bara för att Fortnite Installer designades felaktigt - Fortnite Installer har ingen aning om att det bara underlättade nedladdningen av skadlig programvara och genom att trycka på "lansering" till och med startar skadlig programvara.
För att kunna utnyttjas, måste du ha en app installerad på din telefon som letade efter en sådan sårbarhet - men med tanke på Fortnites popularitet och förväntan på utgivningen är det mycket troligt att det finns olämpliga appar där ute gör just det. Många gånger har skadliga appar som installeras på telefoner inte en enda exploatering på dem, de har en hel nyttolast full av många kända sårbarheter att testa, och den här typen av attack kan vara en av dem.
Med ett tryck kan du ladda ner en skadlig app som hade fullständig behörighet och tillgång till all data på din telefon.
Här blir saker riktigt dåliga. På grund av hur Android: s behörighetsmodell fungerar behöver du inte acceptera installationen av en app från "okända källor" utöver den tid du accepterade installationen för Fortnite. På grund av hur denna exploit fungerar, finns det ingen indikation under installationsprocessen att du laddar ner något annat än Fortnite (och Fortnite Installer har heller ingen kunskap), medan det i bakgrunden installeras en helt annan app. Allt händer inom det förväntade flödet att installera appen från Fortnite Installer - du accepterar installationen, eftersom du tror att du installerar spelet. Speciellt på Samsung-telefoner som hämtar appen från Galaxy Apps är sakerna något värre: det finns inte ens en första uppmaning att tillåta från "okända källor" eftersom Galaxy Apps är en känd källa. Att gå vidare, den appen som just installerades tyst kan förklara och beviljas varje tillstånd som är möjligt utan ditt ytterligare medgivande. Det spelar ingen roll om du har en telefon med Android Lollipop eller Android Pie, eller om du stängde av "okända källor" efter installationen av Fortnite Installer - så snart du installerade den kan du eventuellt bli attackerad.
Googles Issue Tracker-sida för exploiten har en snabb skärminspelning som visar hur enkelt en användare kan ladda ner och installera Fortnite Installer, i detta fall från Galaxy Apps Store, och tror att de laddar ner Fortnite medan de istället laddar ner och installerar en skadlig app, med fulla behörigheter - kamera, plats, mikrofon, SMS, lagring och telefon - kallad "Fortnite." Det tar några sekunder och ingen användarinteraktion.
Ja, det här är ganska dåligt.
Hur du kan se till att du är säker
Tack och lov Epic agerade snabbt för att fixa utnyttjandet. Enligt Epic fixades utnyttjandet mindre än 48 timmar efter att ha meddelats och distribuerades till alla Fortnite-installatörer som tidigare hade installerats - användare behöver helt enkelt uppdatera installationsprogrammet, vilket är en enda knackningsaffär. Fortnite Installer som kom med fixen är version 2.1.0, som du kan kontrollera genom att starta Fortnite Installer och gå till dess inställningar. Om du av någon anledning skulle ladda ner en tidigare version av Fortnite Installer kommer den att uppmana dig att installera 2.1.0 (eller senare) innan du installerar Fortnite.
Om du har version 2.1.0 eller senare är du säker på den här sårbarheten.
Epic Games har inte släppt information om denna sårbarhet utan att bekräfta att den har rättats i version 2.1.0 av installationsprogrammet, så vi vet inte om den aktivt utnyttjades i naturen. Om din Fortnite Installer är uppdaterad, men du fortfarande är orolig för om du påverkades av denna sårbarhet kan du avinstallera Fortnite och Fortnite Installer och sedan gå igenom installationsprocessen igen för att se till att din Fortnite-installation är legitim. Du kan (och borde) också köra en skanning med Google Play Protect för att förhoppningsvis identifiera skadlig programvara om den installerades.
En talesman från Google hade följande kommentar om situationen:
Användarsäkerhet är vår högsta prioritet, och som en del av vår proaktiva övervakning av skadlig programvara identifierade vi en sårbarhet i Fortnite-installationsprogrammet. Vi meddelade omedelbart Epic Games och de fixade problemet.
Epic Games lämnade följande kommentar från VD Tim Sweeney:
Epic uppskattade verkligen Googles ansträngning att utföra en djupgående säkerhetsrevision av Fortnite omedelbart efter att vi släpptes på Android och dela resultaten med Epic så att vi snabbt kunde utfärda en uppdatering för att åtgärda felet som de upptäckte.
Google var dock inte ansvarsfullt att offentliggöra de tekniska detaljerna om bristen så snabbt, medan många installationer ännu inte hade uppdaterats och fortfarande var sårbara.
En Epic-säkerhetsingenjör begärde vid min uppmaning att Google försenade offentliggörandet av de typiska 90 dagarna för att möjliggöra tid för uppdateringen att installeras mer. Google vägrade. Du kan läsa allt på
Googles insatser för säkerhetsanalys uppskattas och gynnar Android-plattformen, dock ett företag som är lika kraftfullt som Google bör öva på mer ansvarsfull tidtagningstid än detta, och inte äventyra användarna under sina PR-ansträngningar mot Epics distribution av Fortnite utanför Google Play.
Google kan ha hoppat hajen i Epic, men denna åtgärd följde tydligt Googles policy för avslöjande av 0-dagars sårbarheter.
Vad vi lärde oss av denna process
Jag kommer att upprepa något som har sagts på Android Central i flera år nu: det är oerhört viktigt att bara installera appar från företag och utvecklare som du litar på. Detta utnyttjande kräver fortfarande så fort som det är att du har installerat både Fortnite Installer och en annan skadlig app som skulle göra begäran om att ladda ner mer skadlig skadlig programvara. Med den enorma populariteten av Fortnite finns det en stor möjlighet att dessa cirklar överlappar varandra, men det behöver inte hända dig.
Det här är exakt den sårbarhet vi var oroliga för, och det hände på dag 1.
En av våra oro från början med beslutet att installera Fortnite utanför Play Store var att spelets popularitet skulle övermannas människors allmänna goda förnuft att hålla sig till Play Store för sina appar. Detta är den typen av sårbarhet som med stor sannolikhet kommer att fångas upp i granskningsprocessen för att gå in i Play Store och skulle fixas innan ett stort antal människor laddade ner den. Och med Google Play Protect på din telefon skulle Google kunna fjärrdöda och avinstallera appen om den någonsin gick ut i naturen.
För sin del lyckades Google fortfarande fånga denna sårbarhet trots att appen inte distribueras via Play Store. Vi vet redan att Google Play Protect kan skanna appar på din telefon även om de installerades direkt från webben eller en annan app-butik, och i detta fall säkerhetskopierades den processen av ett begåvat säkerhetsteam på Google som hittade sårbarheten och rapporterade det till utvecklaren. Denna process händer vanligtvis i bakgrunden utan mycket fanfare, men när vi talar om en app som Fortnite med troligen tiotals miljoner installationer, visar det hur allvarligt Google tar säkerhet i Android.
Uppdatering: Den här artikeln har uppdaterats med förtydligad information om utnyttjandet samt en kommentar från Epic Games VD Tim Sweeney.
