Google heeft zojuist openbaar gemaakt dat het een uiterst ernstige kwetsbaarheid ontdekte in Epic's eerste Fortnite-installatieprogramma voor Android dat mag ieder app op je telefoon om te downloaden en te installeren iets op de achtergrond, inclusief apps met volledige verleende machtigingen, zonder medeweten van de gebruiker. Het beveiligingsteam van Google heeft de kwetsbaarheid op 15 augustus voor het eerst privé aan Epic Games bekendgemaakt, en dat is ook zo sinds de informatie openbaar werd vrijgegeven na bevestiging van Epic dat de kwetsbaarheid was gepatcht.
Kortom, dit was precies het soort exploit waarvan Android Central en anderen hadden gevreesd dat het zou gebeuren met dit soort installatiesysteem. Dit is wat u moet weten over de kwetsbaarheid en hoe u ervoor kunt zorgen dat u in de toekomst veilig bent.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe onbeperkte lijnen
Wat is de kwetsbaarheid en waarom is het zo erg?
Als je "Fortnite" gaat downloaden, download je niet de hele game, maar download je eerst de Fortnite Installer. De Fortnite Installer is een eenvoudige app die je downloadt en installeert, die vervolgens de volledige Fortnite-game rechtstreeks van Epic downloadt.
Het Fortnite-installatieprogramma was gemakkelijk te misbruiken om het verzoek om de volledige game te downloaden te kapen.
Het probleem, zoals het beveiligingsteam van Google ontdekte, was dat de Fortnite Installer heel gemakkelijk misbruikt kon worden om het verzoek om Fortnite te downloaden van Epic te kapen en in plaats daarvan te downloaden iets wanneer je op de knop tikt om het spel te downloaden. Het is wat bekend staat als een "man-in-the-disk" -aanval: een app op uw telefoon zoekt naar verzoeken om iets van internet te downloaden en onderschept dat verzoek om in plaats daarvan iets anders te downloaden, buiten medeweten van de oorspronkelijke download-app. Dit is puur mogelijk omdat het Fortnite-installatieprogramma onjuist is ontworpen - het Fortnite-installatieprogramma heeft geen idee dat het zojuist het downloaden van malware heeft vergemakkelijkt, en door op "lanceren" te tikken, wordt zelfs het malware.
Om misbruikt te worden, zou u een app op uw telefoon moeten hebben geïnstalleerd die op zoek was naar een dergelijke kwetsbaarheid, maar gezien de populariteit van Fortnite en de verwachting van de release, is het zeer waarschijnlijk dat er onsmakelijke apps zijn die dat. Vaak hebben kwaadaardige apps die op telefoons zijn geïnstalleerd geen enkele exploit op zich, dat hebben ze wel een hele lading vol met vele bekende kwetsbaarheden om te testen, en dit type aanval kan er een van zijn hen.
Met één tik kon je een kwaadaardige app downloaden die volledige rechten had en toegang had tot alle gegevens op je telefoon.
Hier komen de dingen werkelijk slecht. Vanwege de manier waarop het toestemmingsmodel van Android werkt, hoef je de installatie van een app van "onbekende bronnen" niet te accepteren na de tijd dat je die installatie voor Fortnite hebt geaccepteerd. Vanwege de manier waarop deze exploit werkt, is er tijdens het installatieproces geen indicatie dat u iets anders downloadt dan Fortnite (en Fortnite Installer heeft ook geen kennis), terwijl op de achtergrond een heel andere app wordt geïnstalleerd. Dit gebeurt allemaal binnen de verwachte stroom van het installeren van de app vanuit de Fortnite Installer - je accepteert de installatie, omdat je denkt dat je de game installeert. Vooral op Samsung-telefoons die de app van Galaxy Apps krijgen, is het iets erger: er is niet eens een eerste prompt om toe te staan van "onbekende bronnen" omdat Galaxy Apps een bekende bron is. Verderop kan die app die zojuist stil is geïnstalleerd, declareren en worden verleend elke toestemming mogelijk zonder uw verdere toestemming. Het maakt niet uit of je een telefoon hebt met Android Lollipop of Android Pie, of dat je "onbekende bronnen" hebt uitgeschakeld na het installeren van de Fortnite Installer - zodra je het hebt geïnstalleerd, kun je mogelijk worden aangevallen.
Google's Issue Tracker-pagina voor de exploit heeft een snelle schermopname die laat zien hoe gemakkelijk een gebruiker de Fortnite Installer kan downloaden en installeren, in dit geval vanuit de Galaxy Apps Store, en denkt dat ze Fortnite downloaden terwijl in plaats daarvan een kwaadaardige app wordt gedownload en geïnstalleerd, met volledige rechten - camera, locatie, microfoon, sms, opslag en telefoon - genaamd "Fortnite." Het duurt een paar seconden en geen gebruiker interactie.
Ja, dit is een behoorlijk slechte.
Hoe u ervoor kunt zorgen dat u veilig bent
Gelukkig heeft Epic snel gehandeld om de exploit op te lossen. Volgens Epic werd de exploit minder dan 48 uur na de melding gerepareerd en op elke Fortnite geïmplementeerd Installatieprogramma dat eerder was geïnstalleerd - gebruikers hoeven alleen het installatieprogramma bij te werken, wat een kwestie van één tik is. Het Fortnite-installatieprogramma dat de oplossing heeft gebracht, is versie 2.1.0, die u kunt controleren door het Fortnite-installatieprogramma te starten en naar de instellingen te gaan. Als je om wat voor reden dan ook een eerdere versie van Fortnite Installer zou downloaden, wordt je gevraagd om 2.1.0 (of later) te installeren voordat Fortnite wordt geïnstalleerd.
Als u versie 2.1.0 of hoger heeft, bent u beschermd tegen deze specifieke kwetsbaarheid.
Epic Games heeft geen informatie over deze kwetsbaarheid vrijgegeven, behalve om te bevestigen dat dit het geval is opgelost in versie 2.1.0 van het installatieprogramma, dus we weten niet of het actief werd misbruikt in het wild. Als uw Fortnite-installatieprogramma up-to-date is, maar u zich nog steeds zorgen maakt of u door dit beveiligingslek bent getroffen, kunt u de installatie ongedaan maken Fortnite en de Fortnite Installer, en doorloop vervolgens het installatieproces opnieuw om ervoor te zorgen dat uw Fortnite-installatie is rechtmatig. U kunt (en moet) ook een scan uitvoeren met Google Play Protect om hopelijk malware te identificeren als deze is geïnstalleerd.
Een Google-woordvoerder had de volgende opmerking over de situatie:
Gebruikersbeveiliging is onze topprioriteit en als onderdeel van onze proactieve monitoring van malware hebben we een kwetsbaarheid in het Fortnite-installatieprogramma geïdentificeerd. We hebben Epic Games onmiddellijk op de hoogte gebracht en zij hebben het probleem opgelost.
Epic Games leverde de volgende opmerking van CEO Tim Sweeney:
Epic waardeerde de inspanningen van Google om onmiddellijk na ons een diepgaande beveiligingsaudit van Fortnite uit te voeren release op Android en deel de resultaten met Epic, zodat we snel een update kunnen uitbrengen om de fout te verhelpen ontdekt.
Het was echter onverantwoordelijk van Google om de technische details van de fout zo snel openbaar te maken, terwijl veel installaties nog niet waren bijgewerkt en nog steeds kwetsbaar waren.
Een Epic-beveiligingsingenieur verzocht Google, op mijn aandringen, om uitstel van de openbare bekendmaking voor de typische 90 dagen, zodat de update op grotere schaal kan worden geïnstalleerd. Google weigerde. U kunt het allemaal lezen op https://issuetracker.google.com/issues/112630336
De inspanningen van Google op het gebied van beveiligingsanalyse worden gewaardeerd en komen ten goede aan het Android-platform, maar een krachtig bedrijf als Google zou meer moeten oefenen verantwoorde openbaarmakingstijdstip dan deze, en gebruikers niet in gevaar brengen tijdens haar contra-PR-inspanningen tegen Epic's distributie van Fortnite buiten Google Play.
Google heeft misschien de haai in Epic's gedachten gesprongen, maar deze manier van handelen volgde duidelijk Google's beleid voor het vrijgeven van 0day-kwetsbaarheden.
Wat we hebben geleerd van dit proces
Ik herhaal iets dat al jaren op Android Central wordt gezegd: het is ongelooflijk belangrijk om alleen apps te installeren van bedrijven en ontwikkelaars die je vertrouwt. Deze exploit, hoe erg het ook is, vereist nog steeds dat je beide Fortnite Installer hebt geïnstalleerd en een andere kwaadaardige app die het verzoek zou doen om meer schadelijke malware te downloaden. Met de enorme populariteit van Fortnite is de kans groot dat die cirkels elkaar overlappen, maar dat hoeft niet te gebeuren u.
Dit is precies het soort kwetsbaarheid waar we ons zorgen over maakten, en het gebeurde op dag 1.
Een van onze zorgen vanaf het begin bij de beslissing om Fortnite buiten de Play Store te installeren, was dat de populariteit van de game zou het algemene gezonde verstand van mensen overweldigen om vast te houden aan de Play Store voor hun apps. Dit is het soort kwetsbaarheid dat zeer waarschijnlijk zou worden opgemerkt tijdens het beoordelingsproces om naar de Play Store te gaan en zou worden verholpen voordat een groot aantal mensen heeft het gedownload. En met Google Play Protect op je telefoon zou Google de app op afstand kunnen doden en verwijderen als deze ooit in het wild zou zijn beland.
Google van zijn kant slaagde er nog steeds in om deze kwetsbaarheid op te vangen, ook al wordt de app niet via de Play Store verspreid. We weten al dat Google Play Protect apps op uw telefoon kan scannen, zelfs als ze rechtstreeks vanaf internet of een andere app store zijn geïnstalleerd, en in dit geval werd dat proces ondersteund door een getalenteerd beveiligingsteam bij Google dat de kwetsbaarheid ontdekte en het rapporteerde aan de ontwikkelaar. Dit proces gebeurt meestal op de achtergrond zonder veel tamtam, maar als we het hebben over een app zoals Fortnite met waarschijnlijk tientallen miljoenen installaties, laat het zien hoe serieus Google beveiliging neemt Android.
Bijwerken: Dit artikel is bijgewerkt met verduidelijkte informatie over de exploit, evenals een opmerking van Tim Sweeney, CEO van Epic Games.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
Geef uw smartphone of tablet meer pit met de beste pictogrampakketten voor Android.
Het is fantastisch om uw apparaat aan te passen, omdat het helpt om uw apparaat nog meer "van u" te maken. Met de kracht van Android kunt u launchers van derden gebruiken om aangepaste pictogramthema's toe te voegen en dit zijn slechts enkele van onze favorieten.
Andrew Martonik
Andrew is de Executive Editor, U.S. bij Android Central. Hij is een mobiele liefhebber sinds de Windows Mobile-dagen en behandelt alles wat met Android te maken heeft met een uniek perspectief bij AC sinds 2012. Voor suggesties en updates kunt u hem bereiken op [email protected] of op Twitter op @noordblog.