Google hat gerade öffentlich bekannt gegeben dass es eine äußerst schwerwiegende Sicherheitslücke in entdeckt hat Epics erstes Fortnite-Installationsprogramm für Android das erlaubt irgendein App auf Ihrem Handy zum Herunterladen und Installieren etwas im Hintergrund, einschließlich Apps mit vollständigen Berechtigungen, ohne dass der Benutzer dies weiß. Das Sicherheitsteam von Google hat die Sicherheitsanfälligkeit am 15. August erstmals privat gegenüber Epic Games gemeldet seitdem veröffentlicht die Informationen öffentlich nach Bestätigung von Epic, dass die Sicherheitslücke war gepatcht.
Kurz gesagt, das war genau die Art von Exploit dass Android Central und andere befürchtet hatten, dass dies bei dieser Art von Installationssystem der Fall sein würde. Hier erfahren Sie, was Sie über die Sicherheitsanfälligkeit wissen müssen und wie Sie sicherstellen können, dass Sie in Zukunft sicher sind.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
Was ist die Sicherheitslücke und warum ist sie so schlimm?
Wenn Sie "Fortnite" herunterladen, laden Sie nicht das gesamte Spiel herunter, sondern zuerst den Fortnite Installer. Der Fortnite Installer ist eine einfache App, die Sie herunterladen und installieren und anschließend das vollständige Fortnite-Spiel direkt von Epic herunterladen.
Der Fortnite Installer konnte leicht ausgenutzt werden, um die Anfrage zum Herunterladen des vollständigen Spiels zu entführen.
Wie das Sicherheitsteam von Google feststellte, bestand das Problem darin, dass der Fortnite-Installer sehr leicht ausgenutzt werden konnte, um die Anforderung zu entführen, Fortnite von Epic herunterzuladen und stattdessen herunterzuladen etwas Wenn Sie auf die Schaltfläche tippen, um das Spiel herunterzuladen. Es ist das, was als bekannt ist ein "Man-in-the-Disk" -Angriff: Eine App auf Ihrem Telefon sucht nach Anfragen, etwas aus dem Internet herunterzuladen, und fängt diese Anfrage ab, stattdessen etwas anderes herunterzuladen, ohne dass dies der ursprünglichen Download-App bekannt ist. Dies ist nur möglich, weil der Fortnite Installer nicht ordnungsgemäß entwickelt wurde - der Fortnite Installer hat keine Ahnung, dass es nur das Herunterladen von Malware erleichtert hat, und durch Tippen auf "Starten" wird sogar das gestartet Malware.
Um ausgenutzt zu werden, müsste auf Ihrem Telefon eine App installiert sein, die nach einer solchen Sicherheitsanfälligkeit sucht - aber angesichts der Aufgrund der Popularität von Fortnite und der Erwartung der Veröffentlichung ist es sehr wahrscheinlich, dass es unappetitliche Apps gibt, die genau das tun Das. Oft haben bösartige Apps, die auf Telefonen installiert sind, keinen einzigen Exploit Eine ganze Nutzlast voller bekannter Schwachstellen, die getestet werden müssen, und diese Art von Angriff könnte eine davon sein Sie.
Mit einem Fingertipp können Sie eine schädliche App herunterladen, die über alle Berechtigungen und Zugriff auf alle Daten auf Ihrem Telefon verfügt.
Hier kommen die Dinge ins Spiel Ja wirklich Schlecht. Aufgrund der Funktionsweise des Berechtigungsmodells von Android müssen Sie die Installation einer App aus "unbekannten Quellen" erst nach der Annahme dieser Installation für Fortnite akzeptieren. Aufgrund der Funktionsweise dieses Exploits gibt es während des Installationsvorgangs keinen Hinweis darauf, dass Sie etwas anderes herunterladen als Fortnite (und Fortnite Installer hat auch keine Kenntnisse), während im Hintergrund eine ganz andere App ist Eingerichtet. Dies alles geschieht innerhalb des erwarteten Ablaufs der Installation der App vom Fortnite Installer - Sie akzeptieren die Installation, weil Sie glauben, das Spiel zu installieren. Insbesondere bei Samsung-Handys, die die App von Galaxy Apps erhalten, sind die Dinge etwas schlimmer: Es gibt nicht einmal eine erste Aufforderung, sie von "unbekannten Quellen" zuzulassen, da Galaxy Apps eine bekannte Quelle ist. Wenn Sie weiter gehen, kann die App, die gerade stillschweigend installiert wurde, deklariert und gewährt werden jeden Erlaubnis ohne Ihre weitere Zustimmung möglich. Es spielt keine Rolle, ob Sie ein Telefon mit Android Lollipop oder haben Android Pieoder ob Sie nach der Installation des Fortnite-Installationsprogramms "unbekannte Quellen" deaktiviert haben - sobald Sie es installiert haben, können Sie möglicherweise angegriffen werden.
Googles Issue Tracker-Seite für den Exploit hat eine schnelle Bildschirmaufzeichnung, die zeigt, wie einfach ein Benutzer das Fortnite-Installationsprogramm herunterladen und installieren kann, in diesem Fall aus dem Galaxy Apps Store, und denkt, dass er Fortnite herunterlädt Laden Sie stattdessen eine schädliche App herunter und installieren Sie sie mit allen Berechtigungen - Kamera, Standort, Mikrofon, SMS, Speicher und Telefon - namens "Fortnite". Es dauert ein paar Sekunden und kein Benutzer Interaktion.
Ja, das ist ziemlich schlecht.
Wie Sie sicherstellen können, dass Sie sicher sind
Zum Glück hat Epic schnell gehandelt, um den Exploit zu beheben. Laut Epic wurde der Exploit weniger als 48 Stunden nach der Benachrichtigung behoben und für jeden Fortnite bereitgestellt Zuvor installiertes Installationsprogramm - Benutzer müssen lediglich das Installationsprogramm aktualisieren. Dies ist eine Angelegenheit mit nur einem Fingertipp. Das Fortnite-Installationsprogramm, das das Update bereitgestellt hat, ist Version 2.1.0. Sie können dies überprüfen, indem Sie das Fortnite-Installationsprogramm starten und seine Einstellungen aufrufen. Wenn Sie aus irgendeinem Grund eine frühere Version von Fortnite Installer herunterladen, werden Sie aufgefordert, 2.1.0 (oder höher) zu installieren, bevor Sie Fortnite installieren.
Wenn Sie Version 2.1.0 oder höher haben, sind Sie vor dieser besonderen Sicherheitsanfälligkeit sicher.
Epic Games hat keine Informationen zu dieser Sicherheitsanfälligkeit veröffentlicht, außer dass dies bestätigt wurde In Version 2.1.0 des Installationsprogramms behoben, sodass wir nicht wissen, ob es in der Version aktiv ausgenutzt wurde wild. Wenn Ihr Fortnite-Installationsprogramm auf dem neuesten Stand ist, Sie jedoch weiterhin Bedenken haben, ob Sie von dieser Sicherheitsanfälligkeit betroffen sind, können Sie es deinstallieren Fortnite und das Fortnite-Installationsprogramm führen Sie den Installationsvorgang erneut durch, um sicherzustellen, dass Ihre Fortnite-Installation korrekt ist legitim. Sie können (und sollten) auch einen Scan mit Google Play Protect durchführen, um hoffentlich Malware zu identifizieren, wenn diese installiert wurde.
Ein Google-Sprecher hatte folgenden Kommentar zur Situation:
Die Benutzersicherheit hat für uns oberste Priorität. Im Rahmen unserer proaktiven Überwachung auf Malware haben wir eine Sicherheitslücke im Fortnite-Installationsprogramm identifiziert. Wir haben Epic Games sofort benachrichtigt und das Problem behoben.
Epic Games gab den folgenden Kommentar von CEO Tim Sweeney ab:
Epic würdigte die Bemühungen von Google, unmittelbar nach unserem Abschluss ein eingehendes Sicherheitsaudit für Fortnite durchzuführen Veröffentlichen Sie es auf Android und teilen Sie die Ergebnisse mit Epic, damit wir schnell ein Update veröffentlichen können, um den Fehler zu beheben entdeckt.
Es war jedoch unverantwortlich von Google, die technischen Details des Fehlers so schnell öffentlich bekannt zu geben, während viele Installationen noch nicht aktualisiert wurden und immer noch anfällig waren.
Auf mein Drängen hin forderte ein Epic-Sicherheitsingenieur Google auf, die Veröffentlichung um die typischen 90 Tage zu verschieben, damit das Update umfassender installiert werden kann. Google lehnte ab. Sie können alles unter lesen https://issuetracker.google.com/issues/112630336
Die Bemühungen von Google um Sicherheitsanalysen werden geschätzt und kommen der Android-Plattform zugute. Ein Unternehmen, das so leistungsfähig ist wie Google, sollte jedoch mehr üben verantwortungsbewusster Offenlegungszeitpunkt als dieser und gefährdet die Benutzer nicht im Rahmen ihrer PR-Bemühungen gegen die Verbreitung von Fortnite durch Epic außerhalb von Google Play.
Google mag Epic in den Sinn gekommen sein, aber diese Vorgehensweise folgte eindeutig Googles Richtlinie zur Offenlegung von 0-Tage-Sicherheitslücken.
Was wir aus diesem Prozess gelernt haben
Ich werde etwas wiederholen, was seit Jahren auf Android Central gesagt wird: Es ist unglaublich wichtig, nur Apps von Unternehmen und Entwicklern zu installieren, denen Sie vertrauen. Dieser Exploit erfordert, so schlecht er auch ist, immer noch, dass Sie beide Fortnite Installer installiert haben und eine andere bösartige App, die die Anforderung zum Herunterladen schädlicherer Malware stellen würde. Mit der massiven Popularität von Fortnite besteht die große Möglichkeit, dass sich diese Kreise überschneiden, aber das muss nicht passieren Sie.
Dies ist genau die Art von Sicherheitslücke, über die wir uns Sorgen gemacht haben, und die am ersten Tag passiert ist.
Eines unserer Anliegen von Anfang an bei der Entscheidung, Fortnite außerhalb des Play Store zu installieren, war das Die Popularität des Spiels würde den allgemeinen gesunden Menschenverstand überwältigen, sich für ihre Apps an den Play Store zu halten. Dies ist die Art von Sicherheitsanfälligkeit, die sehr wahrscheinlich beim Überprüfungsprozess beim Aufrufen des Play Store aufgefangen und behoben wird Vor Eine große Anzahl von Personen hat es heruntergeladen. Und mit Google Play Protect auf Ihrem Handy kann Google die App aus der Ferne beenden und deinstallieren, falls sie jemals in die Wildnis geraten sollte.
Google hat es dennoch geschafft, diese Sicherheitsanfälligkeit zu erkennen, obwohl die App nicht über den Play Store verbreitet wird. Wir wissen bereits, dass Google Play Protect Apps auf Ihrem Telefon scannen kann, selbst wenn sie direkt aus dem Internet oder einem anderen App Store installiert wurden. In diesem Fall wurde dieser Prozess von einem talentierten Sicherheitsteam bei Google gesichert, das die Sicherheitsanfälligkeit gefunden und an das Unternehmen gemeldet hat Entwickler. Dieser Prozess findet normalerweise im Hintergrund statt, ohne viel Fanfare, aber wenn wir über eine App wie sprechen Fortnite mit wahrscheinlich zig Millionen Installationen zeigt, wie ernst Google die Sicherheit nimmt Android.
Aktualisieren: Dieser Artikel wurde mit klargestellten Informationen zum Exploit sowie einem Kommentar von Tim Sweeney, CEO von Epic Games, aktualisiert.
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Peppen Sie Ihr Smartphone oder Tablet mit den besten Icon-Packs für Android auf.
Die Möglichkeit, Ihr Gerät anzupassen, ist fantastisch, da es dazu beiträgt, Ihr Gerät noch mehr zu "Ihrem eigenen" zu machen. Mit der Leistung von Android können Sie Starter von Drittanbietern verwenden, um benutzerdefinierte Symbolthemen hinzuzufügen. Dies sind nur einige unserer Favoriten.
Andrew Martonik
Andrew ist Executive Editor in den USA bei Android Central. Seit den Tagen von Windows Mobile ist er ein begeisterter mobiler Fan und deckt seit 2012 alles, was mit Android zu tun hat, mit einer einzigartigen Perspektive bei AC ab. Für Vorschläge und Updates können Sie ihn unter [email protected] oder auf Twitter unter erreichen @ andrewmartonik.