Google vient de divulguer publiquement qu'il a découvert une vulnérabilité extrêmement grave Le premier installateur Fortnite d'Epic pour Android cela a permis tout application sur votre téléphone pour télécharger et installer n'importe quoi en arrière-plan, y compris les applications avec des autorisations complètes accordées, à l'insu de l'utilisateur. L'équipe de sécurité de Google a d'abord divulgué la vulnérabilité à Epic Games le 15 août et a depuis a rendu public les informations après confirmation d'Epic que la vulnérabilité était patché.
En bref, c'était exactement le genre d'exploit qu'Android Central et d'autres craignaient de se produire avec ce type de système d'installation. Voici ce que vous devez savoir sur la vulnérabilité et comment vous assurer que vous êtes en sécurité à l'avenir.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Quelle est la vulnérabilité et pourquoi est-elle si grave?
Lorsque vous téléchargez "Fortnite", vous ne téléchargez pas réellement le jeu entier, vous téléchargez d'abord le programme d'installation de Fortnite. Le programme d'installation de Fortnite est une application simple que vous téléchargez et installez, qui télécharge ensuite le jeu complet de Fortnite directement depuis Epic.
Le programme d'installation de Fortnite était facilement exploitable pour détourner la demande de téléchargement du jeu complet.
Le problème, comme l'équipe de sécurité de Google l'a découvert, était que le programme d'installation de Fortnite était très facilement exploitable pour détourner la demande de téléchargement de Fortnite à partir d'Epic et à la place de télécharger. n'importe quoi lorsque vous appuyez sur le bouton pour télécharger le jeu. C'est ce qu'on appelle une attaque "man-in-the-disk": une application sur votre téléphone recherche les demandes de téléchargement de quelque chose sur Internet et intercepte cette demande de télécharger autre chose à la place, à l'insu de l'application de téléchargement d'origine. Ceci est possible uniquement parce que le programme d'installation de Fortnite a été mal conçu - le programme d'installation de Fortnite n'a aucune idée que cela a simplement facilité le téléchargement du logiciel malveillant, et appuyez sur "lancer" pour lancer même le malware.
Pour être exploité, vous auriez besoin d'une application installée sur votre téléphone qui recherchait une telle vulnérabilité - mais étant donné le la popularité de Fortnite et l'anticipation de la sortie, il est fort probable qu'il existe des applications peu recommandables qui font juste cette. Souvent, les applications malveillantes installées sur les téléphones n'ont pas un seul exploit, elles ont toute une charge utile pleine de nombreuses vulnérabilités connues à tester, et ce type d'attaque pourrait être l'une des leur.
En un seul clic, vous pouvez télécharger une application malveillante disposant d'autorisations complètes et d'un accès à toutes les données de votre téléphone.
Voici où les choses vont vraiment mauvais. En raison du fonctionnement du modèle d'autorisations d'Android, vous n'aurez pas à accepter l'installation d'une application à partir de «sources inconnues» au-delà du moment où vous avez accepté cette installation pour Fortnite. En raison du fonctionnement de cet exploit, il n'y a aucune indication pendant le processus d'installation que vous téléchargez autre chose que Fortnite (et Fortnite Installer n'a aucune connaissance non plus), alors qu'en arrière-plan une application entièrement différente est en cours installée. Tout cela se passe dans le flux prévu d'installation de l'application à partir du programme d'installation de Fortnite - vous acceptez l'installation, car vous pensez que vous installez le jeu. Sur les téléphones Samsung qui reçoivent l'application de Galaxy Apps, en particulier, les choses sont légèrement pires: il n'y a même pas de première invite pour autoriser à partir de «sources inconnues» car Galaxy Apps est une source connue. Pour aller plus loin, cette application qui vient d'être installée silencieusement peut déclarer et être accordée chaque permission possible sans votre consentement supplémentaire. Peu importe que vous ayez un téléphone avec Android Lollipop ou Tarte Android, ou si vous avez désactivé les «sources inconnues» après avoir installé le programme d'installation de Fortnite - dès que vous l'avez installé, vous pourriez être attaqué.
Page de suivi des problèmes de Google pour l'exploit a un enregistrement d'écran rapide qui montre à quel point un utilisateur peut facilement télécharger et installer le programme d'installation de Fortnite, dans ce cas à partir du Galaxy Apps Store, et pense télécharger Fortnite tout en téléchargeant et en installant une application malveillante, avec des autorisations complètes - appareil photo, emplacement, microphone, SMS, stockage et téléphone - appelée «Fortnite». Cela prend quelques secondes et aucun utilisateur interaction.
Ouais, c'est une assez mauvaise.
Comment vous assurer que vous êtes en sécurité
Heureusement, Epic a agi rapidement pour corriger l'exploit. Selon Epic, l'exploit a été corrigé moins de 48 heures après avoir été notifié et a été déployé sur chaque Fortnite Installateur qui avait été installé précédemment - les utilisateurs doivent simplement mettre à jour le programme d'installation, ce qui est une affaire d'un seul clic. Le programme d'installation Fortnite qui a apporté le correctif est la version 2.1.0, que vous pouvez vérifier en lançant le programme d'installation Fortnite et en accédant à ses paramètres. Si, pour une raison quelconque, vous deviez télécharger une version antérieure de Fortnite Installer, cela vous demandera d'installer 2.1.0 (ou version ultérieure) avant d'installer Fortnite.
Si vous avez la version 2.1.0 ou ultérieure, vous êtes à l'abri de cette vulnérabilité particulière.
Epic Games n'a pas publié d'informations sur cette vulnérabilité en dehors de la confirmation qu'elle a été corrigé dans la version 2.1.0 de l'installateur, nous ne savons donc pas s'il a été activement exploité dans le sauvage. Si votre programme d'installation Fortnite est à jour, mais que vous vous demandez toujours si vous avez été affecté par cette vulnérabilité, vous pouvez désinstaller Fortnite et le programme d'installation de Fortnite, puis recommencez le processus d'installation pour vous assurer que votre installation Fortnite est légitime. Vous pouvez (et devriez) également exécuter une analyse avec Google Play Protect pour, espérons-le, identifier tout logiciel malveillant s'il a été installé.
Un porte-parole de Google a fait le commentaire suivant sur la situation:
La sécurité des utilisateurs est notre priorité absolue et, dans le cadre de notre surveillance proactive des logiciels malveillants, nous avons identifié une vulnérabilité dans le programme d'installation de Fortnite. Nous avons immédiatement informé Epic Games et ils ont résolu le problème.
Epic Games a fourni le commentaire suivant du PDG Tim Sweeney:
Epic a vraiment apprécié les efforts de Google pour effectuer un audit de sécurité approfondi de Fortnite immédiatement après notre publier sur Android, et partager les résultats avec Epic afin que nous puissions publier rapidement une mise à jour pour corriger la faille qu'ils découvert.
Cependant, il était irresponsable de la part de Google de divulguer publiquement les détails techniques de la faille si rapidement, alors que de nombreuses installations n'avaient pas encore été mises à jour et étaient toujours vulnérables.
Un ingénieur en sécurité d'Epic, à ma demande, a demandé à Google de retarder la divulgation publique pendant les 90 jours typiques pour laisser le temps à la mise à jour d'être plus largement installée. Google a refusé. Vous pouvez tout lire sur https://issuetracker.google.com/issues/112630336
Les efforts d'analyse de sécurité de Google sont appréciés et profitent à la plate-forme Android, mais une entreprise aussi puissante que Google devrait pratiquer davantage délai de divulgation responsable que celui-ci, et ne pas mettre en danger les utilisateurs dans le cadre de ses efforts de contre-RP contre la distribution d'Epic de Fortnite en dehors de Jeu de Google.
Google a peut-être sauté le requin dans l'esprit d'Epic, mais ce plan d'action a clairement suivi Politique de Google en matière de divulgation des vulnérabilités 0day.
Ce que nous avons appris de ce processus
Je vais répéter ce qui a été dit sur Android Central depuis des années maintenant: il est extrêmement important de n'installer que des applications d'entreprises et de développeurs en qui vous avez confiance. Cet exploit, pour aussi mauvais qu'il soit, exigeait toujours que vous ayez installé le programme d'installation de Fortnite et une autre application malveillante qui demanderait de télécharger des logiciels malveillants plus dommageables. Avec la popularité massive de Fortnite, il est fort possible que ces cercles se chevauchent, mais cela ne doit pas nécessairement arriver. tu.
C'est exactement le genre de vulnérabilité qui nous inquiétait, et cela s'est produit le premier jour.
L'une de nos préoccupations depuis le début avec la décision d'installer Fortnite en dehors du Play Store était que la popularité du jeu l'emporterait sur le bon sens général des gens de s'en tenir au Play Store pour leurs applications. C'est le genre de vulnérabilité qui serait très probablement détectée lors du processus de révision pour accéder au Play Store et qui serait corrigée avant un grand nombre de personnes l'ont téléchargé. Et avec Google Play Protect sur votre téléphone, Google serait en mesure de tuer et de désinstaller à distance l'application si jamais elle sortait dans la nature.
De son côté, Google a quand même réussi à attraper cette vulnérabilité même si l'application n'est pas distribuée via le Play Store. Nous savons déjà que Google Play Protect est capable de scanner les applications sur votre téléphone même si elles ont été installées directement à partir du Web ou d'une autre boutique d'applications, et dans ce cas, ce processus a été soutenu par une équipe de sécurité talentueuse de Google qui a trouvé la vulnérabilité et l'a signalée au développeur. Ce processus se produit généralement en arrière-plan sans trop de fanfare, mais lorsque nous parlons d'une application comme Fortnite avec probablement des dizaines de millions d'installations, cela montre à quel point Google prend la sécurité au sérieux Android.
Mettre à jour: Cet article a été mis à jour avec des informations clarifiées sur l'exploit, ainsi qu'un commentaire du PDG d'Epic Games, Tim Sweeney.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans maximum.
Pimentez votre smartphone ou votre tablette avec les meilleurs packs d'icônes pour Android.
Pouvoir personnaliser votre appareil est fantastique car cela aide à rendre votre appareil encore plus «vôtre». Avec la puissance d'Android, vous pouvez utiliser des lanceurs tiers pour ajouter des thèmes d'icônes personnalisés et ce ne sont là que quelques-uns de nos favoris.
Andrew Martonik
Andrew est le rédacteur en chef, États-Unis, d'Android Central. Il est un passionné de mobile depuis l'époque de Windows Mobile et couvre tout ce qui concerne Android avec une perspective unique chez AC depuis 2012. Pour des suggestions et des mises à jour, vous pouvez le joindre à [email protected] ou sur Twitter à @andrewmartonik.