Google ha appena divulgato pubblicamente che ha scoperto una vulnerabilità estremamente grave in Il primo programma di installazione di Fortnite di Epic per Android quello ha permesso qualunque app sul telefono da scaricare e installare nulla in background, comprese le app con autorizzazioni complete concesse, all'insaputa dell'utente. Il team di sicurezza di Google ha rivelato per la prima volta la vulnerabilità in privato a Epic Games il 15 agosto e lo ha fatto da quando ha rilasciato pubblicamente le informazioni in seguito alla conferma da parte di Epic che la vulnerabilità era rattoppato.
In breve, questo era Esattamente il tipo di exploit che Android Central, e altri, avevano temuto si sarebbe verificato con questo tipo di sistema di installazione. Ecco cosa devi sapere sulla vulnerabilità e come assicurarti di essere al sicuro in futuro.
Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited
Qual è la vulnerabilità e perché è così grave?
Quando si scarica "Fortnite" non si scarica effettivamente l'intero gioco, si scarica prima il programma di installazione di Fortnite. Il programma di installazione di Fortnite è una semplice app che scarichi e installi, che successivamente scarica il gioco completo di Fortnite direttamente da Epic.
Il programma di installazione di Fortnite era facilmente sfruttabile per dirottare la richiesta di download del gioco completo.
Il problema, come ha scoperto il team di sicurezza di Google, era che il programma di installazione di Fortnite era molto facilmente sfruttabile per dirottare la richiesta di scaricare Fortnite da Epic e invece scaricare nulla quando tocchi il pulsante per scaricare il gioco. È ciò che è noto come un attacco "man-in-the-disk": un'app sul telefono cerca richieste di download di qualcosa da Internet e intercetta invece quella richiesta di scaricare qualcos'altro, all'insaputa dell'app di download originale. Ciò è possibile semplicemente perché il programma di installazione di Fortnite è stato progettato in modo improprio: il programma di installazione di Fortnite non ha idea di aver semplicemente facilitato il download del malware e toccando "avvia" si avvia anche il file malware.
Per essere sfruttato, dovresti avere un'app installata sul tuo telefono che cercava una tale vulnerabilità, ma data la popolarità di Fortnite e l'anticipazione del rilascio, è molto probabile che ci siano app sgradevoli là fuori che stanno facendo solo quello. Molte volte le app dannose installate sui telefoni non hanno un singolo exploit su di loro, lo hanno un intero payload pieno di molte vulnerabilità note da testare e questo tipo di attacco potrebbe essere uno di loro.
Con un tocco, puoi scaricare un'app dannosa con autorizzazioni complete e accesso a tutti i dati sul tuo telefono.
Ecco dove vanno le cose veramente male. A causa del modo in cui funziona il modello di autorizzazioni di Android, non dovrai accettare l'installazione di un'app da "fonti sconosciute" oltre il tempo in cui hai accettato l'installazione per Fortnite. A causa del modo in cui funziona questo exploit, non vi è alcuna indicazione durante il processo di installazione che stai scaricando qualcos'altro di Fortnite (e nemmeno il programma di installazione di Fortnite ne è a conoscenza), mentre in sottofondo viene visualizzata un'app completamente diversa installato. Tutto ciò avviene all'interno del flusso previsto di installazione dell'app dal programma di installazione di Fortnite: accetti l'installazione, perché pensi di installare il gioco. Sui telefoni Samsung che ottengono l'app da Galaxy Apps, in particolare, le cose vanno leggermente peggio: non c'è nemmeno un primo prompt per consentire da "fonti sconosciute" perché Galaxy Apps è una fonte nota. Andando oltre, l'app che è stata appena installata silenziosamente può dichiarare e essere concessa ogni permesso possibile senza il tuo ulteriore consenso. Non importa se hai un telefono con Android Lollipop o Torta Android, o se hai disattivato "fonti sconosciute" dopo aver installato il programma di installazione di Fortnite: non appena lo hai installato, potresti essere potenzialmente attaccato.
Pagina Issue Tracker di Google per l'exploit ha una registrazione rapida dello schermo che mostra la facilità con cui un utente può scaricare e installare il programma di installazione di Fortnite, in questo caso dal Galaxy Apps Store, e pensa di scaricare Fortnite mentre invece scarica e installa un'app dannosa, con autorizzazioni complete - fotocamera, posizione, microfono, SMS, memoria e telefono - chiamata "Fortnite". Ci vogliono pochi secondi e nessun utente interazione.
Sì, questo è piuttosto brutto.
Come puoi assicurarti di essere al sicuro
Per fortuna, Epic ha agito rapidamente per correggere l'exploit. Secondo Epic, l'exploit è stato risolto meno di 48 ore dopo essere stato notificato ed è stato distribuito a tutti i Fortnite Programma di installazione che era stato installato in precedenza: gli utenti devono semplicemente aggiornare il programma di installazione, che è un affare con un tocco. Il programma di installazione di Fortnite che ha portato la correzione è la versione 2.1.0, che puoi verificare avviando il programma di installazione di Fortnite e andando alle sue impostazioni. Se per qualsiasi motivo dovessi scaricare una versione precedente di Fortnite Installer, ti verrà chiesto di installare la 2.1.0 (o successiva) prima di installare Fortnite.
Se hai la versione 2.1.0 o successiva, sei al sicuro da questa particolare vulnerabilità.
Epic Games non ha rilasciato informazioni su questa vulnerabilità al di fuori della conferma che lo sia stata risolto nella versione 2.1.0 del programma di installazione, quindi non sappiamo se è stato attivamente sfruttato in selvaggio. Se il tuo programma di installazione di Fortnite è aggiornato, ma sei ancora preoccupato di essere stato colpito da questa vulnerabilità, puoi disinstallarlo Fortnite e il programma di installazione di Fortnite, quindi ripeti il processo di installazione per assicurarti che l'installazione di Fortnite sia legittimo. Puoi (e dovresti) anche eseguire una scansione con Google Play Protect per identificare, si spera, qualsiasi malware se è stato installato.
Un portavoce di Google ha espresso il seguente commento sulla situazione:
La sicurezza degli utenti è la nostra massima priorità e come parte del nostro monitoraggio proattivo del malware abbiamo identificato una vulnerabilità nel programma di installazione di Fortnite. Abbiamo immediatamente informato Epic Games e hanno risolto il problema.
Epic Games ha fornito il seguente commento del CEO Tim Sweeney:
Epic ha davvero apprezzato lo sforzo di Google di eseguire un controllo di sicurezza approfondito di Fortnite immediatamente dopo il nostro rilasciare su Android e condividere i risultati con Epic in modo da poter pubblicare rapidamente un aggiornamento per correggere il difetto scoperto.
Tuttavia, è stato irresponsabile da parte di Google divulgare pubblicamente i dettagli tecnici del difetto così rapidamente, mentre molte installazioni non erano ancora state aggiornate ed erano ancora vulnerabili.
Un ingegnere della sicurezza di Epic, su mia richiesta, ha richiesto a Google di ritardare la divulgazione al pubblico per i tipici 90 giorni per consentire il tempo necessario per un'installazione più ampia dell'aggiornamento. Google ha rifiutato. Puoi leggere tutto su https://issuetracker.google.com/issues/112630336
Gli sforzi di analisi della sicurezza di Google sono apprezzati e avvantaggiano la piattaforma Android, tuttavia un'azienda potente come Google dovrebbe esercitarsi di più tempi di divulgazione responsabili rispetto a questo, e non mettere in pericolo gli utenti nel corso dei suoi sforzi di contro-PR contro la distribuzione di Fortnite da parte di Epic al di fuori di Google Play.
Google potrebbe aver saltato lo squalo nella mente di Epic, ma questa linea di condotta è chiaramente seguita La politica di Google per la divulgazione delle vulnerabilità 0day.
Cosa abbiamo imparato da questo processo
Ripeto qualcosa che è stato detto su Android Central da anni ormai: è incredibilmente importante installare solo app di aziende e sviluppatori di cui ti fidi. Questo exploit, per quanto grave, richiede comunque l'installazione di entrambi i programmi di installazione di Fortnite e un'altra app dannosa che richiederebbe di scaricare malware più dannosi. Con l'enorme popolarità di Fortnite c'è una grande possibilità che quei cerchi si sovrappongano, ma non deve succedere tu.
Questo è esattamente il tipo di vulnerabilità di cui eravamo preoccupati ed è accaduto il primo giorno.
Una delle nostre preoccupazioni fin dall'inizio con la decisione di installare Fortnite al di fuori del Play Store era quella la popolarità del gioco avrebbe sopraffatto il buonsenso generale delle persone ad attenersi al Play Store per le loro app. Questo è il tipo di vulnerabilità che molto probabilmente verrebbe catturata durante il processo di revisione per accedere al Play Store e verrebbe risolto prima un gran numero di persone lo ha scaricato. E con Google Play Protect sul tuo telefono, Google sarebbe in grado di uccidere e disinstallare da remoto l'app se fosse mai uscita in libertà.
Da parte sua, Google è comunque riuscita a rilevare questa vulnerabilità anche se l'app non viene distribuita tramite il Play Store. Sappiamo già che Google Play Protect è in grado di scansionare le app sul tuo telefono anche se sono state installate direttamente dal Web o da un altro app store, e in questo caso tale processo è stato supportato da un talentuoso team di sicurezza di Google che ha rilevato la vulnerabilità e l'ha segnalata al sviluppatore. Questo processo avviene in genere in background senza troppe fanfare, ma quando parliamo di un'app come Fortnite con probabilmente decine di milioni di installazioni, mostra quanto Google prenda sul serio la sicurezza Android.
Aggiornare: Questo articolo è stato aggiornato con informazioni chiarite sull'exploit e un commento del CEO di Epic Games Tim Sweeney.
Questi sono i migliori auricolari wireless che puoi acquistare ad ogni prezzo!
I migliori auricolari wireless sono comodi, hanno un suono eccezionale, non costano troppo e stanno facilmente in tasca.
Tutto ciò che devi sapere sulla PS5: data di uscita, prezzo e altro ancora.
Sony ha ufficialmente confermato che sta lavorando su PlayStation 5. Ecco tutto ciò che sappiamo finora.
Nokia lancia due nuovi telefoni Android One economici a meno di $ 200.
Nokia 2.4 e Nokia 3.4 sono le ultime aggiunte alla linea di smartphone economici di HMD Global. Poiché sono entrambi dispositivi Android One, è garantito che riceveranno due principali aggiornamenti del sistema operativo e aggiornamenti di sicurezza regolari per un massimo di tre anni.
Ravviva il tuo smartphone o tablet con i migliori pacchetti di icone per Android.
Essere in grado di personalizzare il tuo dispositivo è fantastico in quanto aiuta a rendere il tuo dispositivo ancora più "tuo". Con la potenza di Android, puoi utilizzare lanciatori di terze parti per aggiungere temi di icone personalizzati e questi sono solo alcuni dei nostri preferiti.
Andrew Martonik
Andrew è il redattore esecutivo, Stati Uniti, di Android Central. È un appassionato di dispositivi mobili sin dai tempi di Windows Mobile e dal 2012 copre tutto ciò che riguarda Android con una prospettiva unica in AC. Per suggerimenti e aggiornamenti, puoi contattarlo all'indirizzo [email protected] o su Twitter all'indirizzo @andrewmartonik.