Установлено, что установщик Fortnite Mobile для Android содержит эксплойт Man-in-the-Disk

Epic Games исправила серьезную уязвимость в установщике Fortnite Mobile для Android. (Источник: APK Pure)

Google обнаружил уязвимость в Fortnite Mobile APK, которая позволяет предустановленному вредоносному приложению использовать способ установки игры в первый раз на устройствах Samsung Galaxy. К счастью, Epic исправила эту уязвимость в последней версии установщика, но не очень рада, что Google преждевременно ее разглашает.

Epic Games недавно отправила патч для установщика Fortnite Mobile для Android, который исправил серьезную уязвимость, обнаруженную Google. Рассматриваемая уязвимость представляет собой эксплойт Man-in-the-Disk (MitD), который позволил бы предустановленному вредоносному приложению взломать установщик Fortnite и установить вредоносное ПО на устройства Samsung Experience.

Разработчики XDA предоставляют четкий контекст того, что пошло не так с установщиком Fortnite. Как правило, Android APK, приобретенные за пределами Google Play Store, требуют определенных разрешений от пользователя для установки. Некоторые сторонние приложения, такие как Google Play Store и аналогичные OEM-магазины от Samsung, Huawei и других, уже имеют разрешение INSTALL_PACKAGES, а также предоставляют необходимые разрешения во время выполнения. Таким образом, установка происходит бесшумно, и вмешательство пользователя не требуется, кроме нажатия кнопки «Установить» в Магазине.

Однако, если приложение устанавливается из сторонних источников, диспетчер пакетов Android запросит у пользователя необходимые разрешения и, следовательно, не разрешает установку без вывода сообщений. OEM-производители также могут настроить диспетчер пакетов Android для поиска проблем безопасности, прежде чем запрашивать разрешение пользователя. Так что же пошло не так с начальной версией установщика Fortnite?

На устройствах Samsung Experience, таких как Galaxy S8 + , Примечание 9 и Вкладка S4 Fortnite распространяется через магазин Samsung Galaxy Apps. Google обнаружил, что на этих устройствах установщик Fortnite использовал частный API в приложениях Galaxy Apps, чтобы обойти запросы диспетчера пакетов Android для автоматической установки. Хотя это само по себе не является проблемой, установщик Fortnite фактически загружает APK в /sdcard/Android/data/com.epicgames.portal/files/downloads/ вместо каталога для конкретного приложения в / data / data . Каталог / sdcard / считается внешним хранилищем и может быть изменен любым приложением, имеющим разрешения на чтение и запись, тогда как каталог приложения / data / data может быть доступен только соответствующему приложению.

Это означает, что если предустановленное вредоносное приложение имеет необходимые разрешения на чтение и запись, оно может отслеживать каталог, в который загружается Fortnite APK, и заменять его собственным измененным APK. Проблема усугубляется тем, что Samsung Galaxy Apps не проверяет целостность пакета, а просто проверяет, является ли имя APK com.epicgames.fortnite, и приступает к его автоматической установке.

Вскоре после того, как Google обнаружил этот недостаток, Epic Games быстро исправила уязвимость в версии 2.1.0 программы установки. Исправление было довольно простым на самом деле и изменило местоположение загрузки APK на / data / data вместо / sdcard / Android / . Однако, к большому огорчению Epic Games, Google обнаружил уязвимость в течение 7 дней после ее обнаружения, не обращая внимания на запрос Epic Games об обычном 90-дневном окне. Говоря с Android Central , генеральный директор Epic Games Тим Суини сказал:

Epic искренне ценит усилия Google по проведению тщательного аудита безопасности Fortnite сразу же после нашего выпуска на Android, и делится результатами с Epic, чтобы мы могли быстро выпустить обновление, чтобы исправить обнаруженный недостаток.

Однако Google безответственно публично раскрывал технические подробности этой ошибки, хотя многие установки еще не были обновлены и оставались уязвимыми.

Инженер по безопасности Epic, по моему настоянию, попросил Google отложить публичное раскрытие информации на типичные 90 дней, чтобы дать время для более широкой установки обновления. Гугл отказался. Вы можете прочитать все это на https://issuetracker.google.com/issues/112630336

Усилия Google по анализу безопасности высоко ценятся и приносят пользу платформе Android, однако такая мощная компания, как Google, должна придерживаться более ответственных сроков раскрытия информации, чем эта, и не подвергать опасности пользователей в ходе своих усилий по борьбе с пиаром против распространения Epic Fortnite за пределами Google Play. «.

На телефонах не Samsung установлены приложения Galaxy, поэтому при попытке установить Fortnite APK запрашиваются обычные разрешения. Тем не менее, вредоносное приложение все еще может маскироваться под фактического установщика Fortnite, а среднестатистический Джо или Джейн даже не узнают.

Запуск Fortnite Mobile для Android имел свою долю противоречий - от игры изначально эксклюзивный на флагманские телефоны Samsung Galaxy на Epic Games ' решение обойти Google Play Store для распространения. Пользователи флагманов не Samsung Galaxy, которые зарегистрировались для приглашения, постепенно разрешается играть в игру. Говорят, что Google пропавших без вести Доход от IAP превышает 50 миллионов долларов США благодаря Epic Games, обходящей Play Store. Было ли быстрое раскрытие Google этой уязвимости сладкой местью за это или что-то еще, остается только догадываться.

Так что же пошло не так с начальной версией установщика Fortnite?