Článek

První instalační program Fortnite společnosti Epic umožnil hackerům bezobslužně stahovat a instalovat cokoli na vašem telefonu Android

Google právě zveřejnil že objevil extrémně vážnou zranitelnost v Epic první instalační program Fortnite pro Android to dovolilo žádný aplikaci do telefonu ke stažení a instalaci cokoliv na pozadí, včetně aplikací s udělenými úplnými oprávněními, bez vědomí uživatele. Bezpečnostní tým společnosti Google poprvé odhalil tuto chybu zabezpečení Epic Games soukromě 15. srpna a také ji oznámil od zveřejnění informací veřejně poté, co společnost Epic potvrdila, že tato chyba zabezpečení byla opravený.

Stručně řečeno to bylo přesně tak druh zneužití že se Android Central a další obávali, že k tomu dojde u tohoto druhu instalačního systému. Tady je to, co potřebujete vědět o chybě zabezpečení a jak zajistit, abyste byli v bezpečí i nadále.

Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited

Co je to zranitelnost a proč je tak špatná?

Když si přejete stáhnout „Fortnite“, nestáhnete si ve skutečnosti celou hru, nejprve si stáhnete instalační program Fortnite. Instalační program Fortnite je jednoduchá aplikace, kterou si stáhnete a nainstalujete a následně si stáhnete plnou hru Fortnite přímo z Epic.

Instalační program Fortnite byl snadno zneužitelný, aby unesl požadavek na stažení celé hry.

Problém, jak zjistil bezpečnostní tým společnosti Google, spočíval v tom, že instalační program Fortnite byl velmi snadno zneužitelný, aby unesl požadavek na stažení Fortnite z Epic a místo toho si stáhl cokoliv když hru stáhnete klepnutím na tlačítko. Je to známé jako útok „muž na disku“: aplikace ve vašem telefonu vyhledává požadavky na stažení něčeho z internetu a zachycuje tento požadavek místo toho stáhnout něco jiného, ​​bez vědomí původní aplikace pro stahování. To je možné čistě proto, že instalační program Fortnite byl navržen nesprávně - instalační program Fortnite nemá tušení, že to jen usnadnilo stahování malwaru a klepnutím na "spustit" se dokonce spustí malware.

Abyste mohli být zneužití, musíte mít v telefonu nainstalovanou aplikaci, která hledala takovou chybu zabezpečení - ale vzhledem k popularita Fortnite a očekávání vydání, je vysoce pravděpodobné, že tam jsou nechutné aplikace, které dělají jen že. Mnohokrát škodlivé aplikace, které jsou nainstalovány v telefonech, na sobě nemají ani jeden exploit, ano celé užitečné zatížení plné mnoha známých zranitelností k testování a tento typ útoku by mohl být jedním z jim.

Jediným klepnutím si můžete stáhnout škodlivou aplikaci, která měla úplná oprávnění a přístup ke všem datům v telefonu.

Tady se věci dostanou opravdu špatný. Vzhledem k tomu, jak model oprávnění systému Android funguje, nebudete muset po uplynutí doby, kterou jste tuto instalaci pro Fortnite přijali, přijímat instalaci aplikace z „neznámých zdrojů“. Z důvodu způsobu, jakým toto zneužití funguje, během procesu instalace nic nenasvědčuje tomu, že stahujete cokoli jiného než Fortnite (a ani Fortnite Installer nemá žádné znalosti), zatímco na pozadí je úplně jiná aplikace nainstalován. To vše se děje v rámci očekávaného toku instalace aplikace z Fortnite Installer - instalaci přijímáte, protože si myslíte, že instalujete hru. Zejména na telefonech Samsung, které získávají aplikaci od Galaxy Apps, je situace o něco horší: není k dispozici ani první výzva k povolení od „neznámých zdrojů“, protože Galaxy Apps je známý zdroj. Jít dále, tato aplikace, která byla právě nainstalována bezobslužně, může deklarovat a být udělena každý povolení je možné bez vašeho dalšího souhlasu. Nezáleží na tom, zda máte telefon se systémem Android Lollipop nebo Android Pie, nebo zda jste po instalaci instalačního programu Fortnite vypnuli „neznámé zdroje“ - jakmile jej nainstalujete, můžete být potenciálně napadeni.

Stránka Sledování problémů Google pro zneužití má rychlý záznam obrazovky, který ukazuje, jak snadno si uživatel může stáhnout a nainstalovat instalační program Fortnite, v tomto případě z obchodu Galaxy Apps, a myslí si, že stahuje Fortnite zatímco místo toho stahujete a instalujete škodlivou aplikaci s úplnými oprávněními - kamera, umístění, mikrofon, SMS, úložiště a telefon - nazývají se „Fortnite“. Trvá to několik sekund a žádný uživatel interakce.

Jo, tohle je docela špatné.

Jak se můžete ujistit, že jste v bezpečí

Epic naštěstí jednal rychle, aby zneužití napravil. Podle Epic byl exploit opraven méně než 48 hodin po oznámení a byl nasazen do každého Fortnite Instalační program, který byl nainstalován dříve - uživatelé jednoduše potřebují aktualizovat instalační program, což je záležitost jedním klepnutím. Instalační program Fortnite, který přinesl opravu, je verze 2.1.0, kterou můžete zkontrolovat spuštěním instalačního programu Fortnite a přechodem na jeho nastavení. Pokud jste si z jakéhokoli důvodu stáhli dřívější verzi instalačního programu Fortnite, zobrazí se výzva k instalaci verze 2.1.0 (nebo novější) před instalací Fortnite.

Pokud máte verzi 2.1.0 nebo novější, jste v bezpečí před touto konkrétní chybou zabezpečení.

Společnost Epic Games nezveřejnila informace o této chybě zabezpečení kromě potvrzení, že tomu tak bylo opraveno ve verzi 2.1.0 instalačního programu, takže nevíme, zda byl aktivně využíván v divoký. Pokud je váš instalační program Fortnite aktuální, ale stále máte obavy, zda vás tato chyba zabezpečení ovlivnila, můžete odinstalovat Fortnite a instalační program Fortnite a poté znovu projděte instalačním procesem, abyste se ujistili, že vaše instalace Fortnite je legitimní. Můžete (a měli byste) také spustit skenování pomocí Google Play Protect, abyste snad identifikovali jakýkoli malware, pokud byl nainstalován.

Mluvčí Google měl k situaci následující komentář:

Zabezpečení uživatelů je naší nejvyšší prioritou a v rámci našeho proaktivního sledování malwaru jsme identifikovali zranitelnost v instalačním programu Fortnite. Okamžitě jsme informovali Epic Games a oni problém vyřešili.

Společnost Epic Games poskytla následující komentář od generálního ředitele Tima Sweeneyho:

Společnost Epic skutečně ocenila snahu společnosti Google provést důkladný bezpečnostní audit Fortnite bezprostředně po našem verze pro Android a sdílet výsledky s Epic, abychom mohli rychle vydat aktualizaci, abychom opravili jejich vadu objevil.

Bylo však nezodpovědné, aby Google tak rychle zveřejnil technické podrobnosti chyby, zatímco mnoho instalací ještě nebylo aktualizováno a stále byly zranitelné.

Bezpečnostní technik společnosti Epic na mé naléhání požádal společnost Google o zpoždění zveřejnění o typických 90 dní, aby měl čas na širší instalaci aktualizace. Google odmítl. Vše si můžete přečíst na https://issuetracker.google.com/issues/112630336

Úsilí společnosti Google v oblasti analýzy zabezpečení je oceňováno a prospívá platformě Android, nicméně společnost tak silná jako Google by měla praktikovat více odpovědné načasování zveřejnění, než je toto, a neohrožovat uživatele v průběhu jeho protirečivých snah proti distribuci Forticu společností Epic mimo Google Play.

Google možná skočil na žraloka v Epicově mysli, ale tento postup jasně následoval Zásady společnosti Google pro zveřejňování 0denních zranitelností.

Co jsme se z tohoto procesu dozvěděli

Zopakuji něco, co se v Android Central říká už léta: je neuvěřitelně důležité instalovat pouze aplikace od společností a vývojářů, kterým důvěřujete. Toto zneužití, i když je tak špatné, stále vyžaduje, abyste měli nainstalovaný jak Fortnite Installer a další škodlivá aplikace, která by vyžadovala stažení škodlivějšího malwaru. S obrovskou popularitou Fortnite existuje velká možnost, že se tyto kruhy překrývají, ale nemusí se to stát vy.

To je přesně ten druh zranitelnosti, kterého jsme se obávali, a stalo se to 1. den.

Jedna z našich obav od samého začátku s rozhodnutím nainstalovat Fortnite mimo Play Store byla ta popularita hry by přemohla obecný rozum lidí držet se u svých aplikací obchodu Play. Jedná se o druh chyby zabezpečení, která by se velmi pravděpodobně zachytila ​​v procesu kontroly při vstupu do obchodu Play a byla by opravena před stáhlo si ho velké množství lidí. A díky Google Play Protect ve vašem telefonu by Google dokázal vzdáleně zabít a odinstalovat aplikaci, pokud by se někdy dostala do divočiny.

Google se přesto podařilo tuto chybu zabezpečení zachytit, i když aplikace není distribuována prostřednictvím Obchodu Play. Již víme, že Google Play Protect dokáže skenovat aplikace v telefonu, i když byly nainstalovány přímo z webu nebo jiného obchodu s aplikacemi, a v tomto případě byl tento proces zálohován talentovaným bezpečnostním týmem společnosti Google, který tuto chybu zabezpečení zjistil a nahlásil ji vývojář. Tento proces se obvykle děje na pozadí bez velkých fanfár, ale když mluvíme o aplikaci jako Fortnite s pravděpodobnými desítkami milionů instalací ukazuje, jak vážně Google bere zabezpečení Android.

Aktualizace: Tento článek byl aktualizován o vyjasněné informace o zneužití a také komentář generálního ředitele Epic Games Tima Sweeneyho.

Jedná se o nejlepší bezdrátová sluchátka, která si můžete koupit za každou cenu!
Je čas přestřihnout šňůru!

Jedná se o nejlepší bezdrátová sluchátka, která si můžete koupit za každou cenu!

Nejlepší bezdrátová sluchátka jsou pohodlná, skvěle zní, nestojí příliš mnoho a snadno se vejdou do kapsy.

Vše, co potřebujete o PS5 vědět: Datum vydání, cena a další
Další generace

Vše, co potřebujete o PS5 vědět: Datum vydání, cena a další.

Společnost Sony oficiálně potvrdila, že pracuje na PlayStation 5. Tady je vše, co o tom zatím víme.

Nokia uvádí na trh dva nové levné telefony Android One s cenou do 200 $
Nové Nokie

Nokia uvádí na trh dva nové levné telefony Android One s cenou do 200 $.

Nokia 2.4 a Nokia 3.4 jsou nejnovější přírůstky do řady levných smartphonů HMD Global. Jelikož jsou obě zařízení Android One, je zaručeno, že budou dostávat dvě hlavní aktualizace operačního systému a pravidelné aktualizace zabezpečení až na tři roky.

Okoreňte svůj smartphone nebo tablet nejlepšími balíčky ikon pro Android
téma sami

Okoreňte svůj smartphone nebo tablet nejlepšími balíčky ikon pro Android.

Schopnost přizpůsobit zařízení je fantastická, protože pomáhá, aby vaše zařízení bylo ještě více „svým“. S výkonem systému Android můžete pomocí spouštěčů třetích stran přidat vlastní motivy ikon a to jsou jen některé z našich oblíbených.

Andrew Martonik

Andrew je výkonným redaktorem pro Android v USA. Od dob Windows Mobile je mobilním nadšencem a od roku 2012 pokrývá všechny věci spojené s Androidem jedinečnou perspektivou na AC. Chcete-li získat návrhy a aktualizace, můžete ho kontaktovat na adrese [email protected] nebo na Twitteru na adrese @andrewmartonik.

instagram story viewer