:

Szerző: Hlács Ferenc

2018. augusztus 27. 15:01

Kritikus biztonsági rés bukkant fel az androidos Fortnite telepítőben

A hibát a Google szúrta ki, folytatódik a cég csörtéje az Epic Gamesszel.

Kritikus biztonsági réssel jelent meg az androidos Fortnite telepítője, amelyet kihasználva támadók lényegében tetszőleges szoftvert telepíthettek (volna) a felhasználók készülékeire. Az Epic Games gyorsan orvosolta a hibát, a Google azonban nem hagyta ki a lehetőséget, hogy a cég orrát még jobban beledörgölje a bakiba, miután az nemrég bejelentette, a keresőóriás alkalmazásboltját megkerülve teszi elérhetővé a népszerű játékot.

A vállalt egyik mérnöke a Google Issue Trackeren számolt be a biztonsági hibáról: az úgynevezett "man-in-the-disk" sérülékenység lényege, hogy a Fortnite telepítője, azaz a Fortnite Installer a tényleges játékot tartalmazó APK-t (telepítőállományt) az eszközök megosztott tárolójára tölti le, ahol bármely, a tárolón írási jogosultsággal rendelkező alkalmazás kicserélheti azt egy tetszőleges, de a Fortnite-éval megegyező nevű APK-ra, rögtön miután a telepítő befejezte a letöltést.

A Samsung eszközökön (amelyek tulajdonosai elsőként jutnak hozzá a játékhoz) az Installer a Galaxy Apps API-n keresztül telepíti az APK-t, utóbbi azonban szintén csak a csomagnevet ellenőrzi, a potenciálisan rosszindulatú APK-k előtt is teret engedve. Ráadásul ha a hamisított APK 22-es vagy annál alacsonyabb API szintet céloz, a hibáról Edward néven beszámoló mérnök szerint minden kért engedélyt megkap a telepítéskor. Ezzel a sebezhetőséget kihasználva egy, a készüléken lévő app a Fortnite Installeren keresztül hamis APK-kat telepíthet, olyan alkalmazásengedélyekkel, amelyekhez normális esetben felhasználói beleegyezés is szükséges lenne.

frtnit

Szerencsére amilyen súlyos volt a hiba, olyan gyorsan javítható is, amit a Google szakértője ugyancsak kiemelt, az Epic Games pedig gyorsan meg is tett, a cég 48 óra alatt orvosolta a sebezhetőséget. A játékfejlesztő vállalat ezután arra kérte a Google-t, hogy 90 napig még ne publikálja a sérülékenységet, a keresőóriás azonban nem meglepő módon nem nagyon akart szívességet tenni a cégnek, így tartotta magát megszokott gyakorlatához, miszerint ha egy észlelt hibára érkezik javítás, nem várja meg a 90 napos határidőt, így egy héttel később meg is jelent a fenti poszt a nyilvános Issue Trackeren.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x)

Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

Az Epic Games vezérigazgatója, Tim Sweeney nem volt túl vidám az ügy kapcsán, az Android Centralnak nyilatkozva úgy fogalmazott, "felelőtlenség volt a Google részéről", hogy ilyen gyorsan publikálta a hiba műszaki részleteit, miután sok eszközön még nem frissült az érintett app, így azok továbbra is sebezhetők. A lépést továbbá Sweeney a felhasználókat veszélyeztető "ellen-PR" húzásnak nevezte, válaszcsapásként arra, hogy a cég a Play Store-on kívül értékesítette játékát.

Noha az biztos, hogy az alkalmazásbolt megkerülésen nem táplálta éppen a Google nagylelkűségét az ügyben, a felhasználók veszélyeztetésével dobálózni valószínűleg a fejlesztőcégnek sem tanácsos - nem csak azért, mert a vállalat volt aki a kritikus hibát tartalmazó APK-t közzétette, de azért is, mert a Play Store megkerülésével annak megannyi védvonalát is feláldozta, hogy a Google ne vonhassa le a maga 30 százalékát a játékban zajló vásárlások után. A Fortnite telepítéséhez így ráadásul a játékosoknak a külső forrásból származó appok telepítését is engedélyezniük kell eszközeiken, ami további biztonsági kockázatokat hordoz.

Az Epic Games arról nem beszélt, van-e tudomása olyan esetről, amelynél támadók kihasználták a biztonsági rést, a játékosoknak mindenesetre érdemes meggyőződni róla, hogy a Fortnite Installer frissített, 2.1.0-s verzióját használják, amelyből a fejlesztők kigyomlálták a sebezhetőséget.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról