Indholdsfortegnelse:
- Hvad er sårbarheden, og hvorfor er den så dårlig?
- Hvordan du kan sikre dig, at du er i sikkerhed
- Hvad vi lærte af denne proces
Google har netop offentliggjort, at den opdagede en ekstremt alvorlig sårbarhed i Epics første Fortnite-installationsprogram til Android, der gjorde det muligt for enhver app på din telefon at downloade og installere noget i baggrunden, inklusive apps med fuld tilladelse tildelt, uden brugerens viden. Googles sikkerhedsteam afslørede først sårbarheden privat for Epic Games den 15. august og har siden frigivet oplysningerne offentligt efter bekræftelse fra Epic om, at sårbarheden blev rettet.
Kort sagt, dette var nøjagtigt den form for udnyttelse, som Android Central og andre havde frygtet ville finde sted med denne slags installationssystem. Her er hvad du har brug for at vide om sårbarheden, og hvordan du kan sikre dig, at du er sikker fremad.
Hvad er sårbarheden, og hvorfor er den så dårlig?
Når du går til at downloade "Fortnite", downloader du faktisk ikke hele spillet, du downloader Fortnite Installer først. Fortnite Installer er en simpel app, som du downloader og installerer, og derefter downloader det fulde Fortnite-spil direkte fra Epic.
Fortnite Installer kunne let udnyttes til at kapre anmodningen om at downloade det fulde spil.
Problemet, som Googles sikkerhedsteam opdagede, var, at Fortnite Installer var meget let at udnytte til at kapre anmodningen om at downloade Fortnite fra Epic og i stedet downloade noget, når du trykker på knappen for at downloade spillet. Det er det, der er kendt som et "man-in-the-disk" -angreb: en app på din telefon kigger efter anmodninger om at downloade noget fra internettet og opfanger denne anmodning om at downloade noget andet i stedet, uvidende om den originale download-app. Dette er muligt udelukkende fordi Fortnite Installer blev designet forkert - Fortnite Installer har ingen idé om, at det bare gjorde det lettere at downloade malware, og trykke på "lancering" til og med lancerer malware.
For at blive udnyttet, skal du have en app installeret på din telefon, der ledte efter en sådan sårbarhed - men i betragtning af Fortnites popularitet og forventningen om frigivelsen, er det meget sandsynligt, at der er ubehagelige apps derude, der er gør netop det. Mange gange har ondsindede apps, der er installeret på telefoner, ikke en eneste udnyttelse af dem, de har en hel nyttelast fuld af mange kendte sårbarheder, der skal testes, og denne type angreb kan være en af dem.
Med et enkelt tryk kunne du downloade en ondsindet app, der havde fuld tilladelse og adgang til alle data på din telefon.
Her bliver tingene virkelig dårlige. På grund af den måde Android's tilladelsesmodel fungerer, behøver du ikke at acceptere installation af en app fra "ukendte kilder" ud over det tidspunkt, hvor du accepterede installationen til Fortnite. På grund af den måde, denne udnyttelse fungerer, er der ingen indikation under installationsprocessen, at du downloader andet end Fortnite (og Fortnite Installer har heller ingen viden), mens der i baggrunden installeres en helt anden app. Alt dette sker inden for den forventede strøm af installation af appen fra Fortnite Installer - du accepterer installationen, fordi du tror, du installerer spillet. På Samsung-telefoner, der får appen fra Galaxy Apps, er tingene lidt værre: Der er ikke engang en første prompt, der tillader fra "ukendte kilder", fordi Galaxy Apps er en kendt kilde. Når du går videre, kan den app, der netop blev installeret lydløst erklære og få enhver tilladelse muligt uden dit yderligere samtykke. Det betyder ikke noget, om du har en telefon med Android Lollipop eller Android Pie, eller om du har slukket for "ukendte kilder" efter installationen af Fortnite Installer - så snart du installerede den, kunne du potentielt blive angrebet.
Googles Issue Tracker-side til udnyttelsen har en hurtig skærmoptagelse, der viser, hvor let en bruger kan downloade og installere Fortnite Installer, i dette tilfælde fra Galaxy Apps Store, og tror, de downloader Fortnite, mens de i stedet downloader og installerer en ondsindet app, med fulde tilladelser - kamera, placering, mikrofon, SMS, opbevaring og telefon - kaldet "Fortnite." Det tager et par sekunder og ingen brugerinteraktion.
Ja, dette er ret dårligt.
Hvordan du kan sikre dig, at du er i sikkerhed
Heldigvis handlede Epic hurtigt for at løse udnyttelsen. Ifølge Epic blev udnyttelsen rettet mindre end 48 timer efter, at den blev underrettet og blev distribueret til hver Fortnite Installer, der var blevet installeret tidligere - brugere skal blot opdatere installationsprogrammet, som er en affære med et enkelt tryk. Fortnite Installer, der bragte rettelsen, er version 2.1.0, som du kan se efter ved at starte Fortnite Installer og gå til dens indstillinger. Hvis du af en eller anden grund var at downloade en tidligere version af Fortnite Installer, vil den bede dig om at installere 2.1.0 (eller nyere), før du installerer Fortnite.
Hvis du har version 2.1.0 eller nyere, er du sikker mod denne særlige sårbarhed.
Epic Games har ikke frigivet oplysninger om denne sårbarhed uden for at bekræfte, at den er rettet i version 2.1.0 af installationsprogrammet, så vi ved ikke, om det aktivt blev udnyttet i naturen. Hvis din Fortnite Installer er opdateret, men du stadig er bekymret for, om du blev påvirket af denne sårbarhed, kan du afinstallere Fortnite og Fortnite Installer og derefter gå gennem installationsprocessen igen for at sikre dig, at din Fortnite-installation er legitim. Du kan (og bør) også køre en scanning med Google Play Protect for forhåbentlig at identificere malware, hvis den blev installeret.
En Google-talsmand havde følgende kommentar til situationen:
Brugersikkerhed er vores højeste prioritet, og som en del af vores proaktiv overvågning af malware identificerede vi en sårbarhed i Fortnite-installationsprogrammet. Vi underrettede straks Epic Games, og de løste problemet.
Epic Games leverede følgende kommentar fra CEO Tim Sweeney:
Epic værdsatte virkelig Googles indsats for at udføre en dybdegående sikkerhedsrevision af Fortnite umiddelbart efter vores frigivelse på Android og dele resultaterne med Epic, så vi hurtigt kunne udstede en opdatering for at løse den fejl, de opdagede.
Imidlertid var det uansvarligt af Google at offentliggøre de tekniske detaljer om fejlen så hurtigt, mens mange installationer endnu ikke var blevet opdateret og stadig var sårbare.
En Epic sikkerhedsingeniør anmodede efter min opfordring til Google om at udsætte offentliggørelse i de typiske 90 dage for at give tid til opdateringen mere udbredt. Google nægtede. Du kan læse det hele på
Googles indsats for sikkerhedsanalyse er værdsat og gavner Android-platformen, dog et firma, der er så magtfuldt som Google, bør øve mere ansvarlig oplysningstidspunkt end dette, og ikke bringe brugerne i fare i løbet af sin counter-PR-indsats mod Epics distribution af Fortnite uden for Google Play.
Google har måske sprunget hajen i Epic's sind, men denne handlingsvej fulgte tydeligvis Googles politik for afsløring af 0-dages sårbarheder.
Hvad vi lærte af denne proces
Jeg gentager noget, der er blevet sagt på Android Central i årevis nu: det er utroligt vigtigt at kun installere apps fra virksomheder og udviklere, du har tillid til. Denne udnyttelse kræves stadig, for så dårlig som den er, at du har både Fortnite Installer installeret og en anden ondsindet app, der ville gøre anmodningen om at downloade mere skadelig malware. Med den enorme popularitet af Fortnite er der en stor mulighed for, at disse cirkler overlapper hinanden, men det behøver ikke at ske for dig.
Dette er nøjagtigt den slags sårbarhed, vi var bekymrede for, og det skete på dag 1.
En af vores bekymringer fra starten af beslutningen om at installere Fortnite uden for Play Store var, at spillets popularitet ville overmanne folks generelle gode sans for at holde sig til Play Store for deres apps. Dette er den slags sårbarhed, der meget sandsynligvis ville blive fanget i gennemgangsprocessen for at gå ind i Play Store og vil blive rettet, før et stort antal mennesker downloadede det. Og med Google Play Protect på din telefon, ville Google være i stand til eksternt at dræbe og afinstallere appen, hvis den nogensinde kom ud i naturen.
På sin side lykkedes det stadig Google at fange denne sårbarhed, selvom appen ikke distribueres gennem Play Store. Vi ved allerede, at Google Play Protect er i stand til at scanne apps på din telefon, selvom de blev installeret direkte fra internettet eller en anden app-butik, og i dette tilfælde blev denne proces sikkerhedskopieret af et talentfuldt sikkerhedsteam hos Google, der fandt sårbarheden og rapporterede det til udvikleren. Denne proces sker typisk i baggrunden uden meget fanfare, men når vi taler om en app som Fortnite med sandsynligvis titusinder af installationer, viser den, hvor alvorligt Google tager sikkerhed i Android.
Opdatering: Denne artikel er blevet opdateret med afklarede oplysninger om udnyttelsen samt en kommentar fra Epic Games CEO Tim Sweeney.
