Google właśnie ujawnił publicznie że odkrył niezwykle poważną lukę w Pierwszy instalator Fortnite firmy Epic na Androida to dozwolone każdy aplikację w telefonie, aby pobrać i zainstalować byle co w tle, w tym aplikacje z pełnymi uprawnieniami, bez wiedzy użytkownika. Zespół bezpieczeństwa Google po raz pierwszy ujawnił lukę prywatnie Epic Games 15 sierpnia i to zrobił od czasu upublicznienia informacji po potwierdzeniu przez firmę Epic, że była to luka połatany.
Krótko mówiąc, tak było dokładnie rodzaj exploita że Android Central i inni obawiali się, że wystąpi z tego rodzaju systemem instalacyjnym. Oto, co musisz wiedzieć o luce w zabezpieczeniach i jak zapewnić sobie bezpieczeństwo w przyszłości.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Jaka jest luka i dlaczego jest tak zła?
Gdy przechodzisz do pobierania „Fortnite”, w rzeczywistości nie pobierasz całej gry, najpierw pobierasz instalator Fortnite. Instalator Fortnite to prosta aplikacja, którą można pobrać i zainstalować, a następnie pobrać pełną wersję gry Fortnite bezpośrednio z Epic.
Instalator Fortnite był łatwy do wykorzystania, aby przejąć żądanie pobrania pełnej gry.
Jak odkrył zespół bezpieczeństwa Google, problem polegał na tym, że instalator Fortnite był bardzo łatwy do wykorzystania w celu przechwycenia żądania pobrania Fortnite z Epic i zamiast tego pobrania byle co po dotknięciu przycisku, aby pobrać grę. To jest to, co jest znane jako atak typu „człowiek na dysku”: aplikacja na Twoim telefonie szuka próśb o pobranie czegoś z internetu i przechwytuje prośbę o pobranie czegoś innego, bez wiedzy oryginalnej aplikacji do pobierania. Jest to możliwe tylko dlatego, że instalator Fortnite został zaprojektowany nieprawidłowo - instalator Fortnite nie ma pojęcia, że to tylko ułatwiło pobranie złośliwego oprogramowania, a dotknięcie „uruchom” uruchamia nawet plik złośliwe oprogramowanie.
Aby zostać wykorzystanym, musiałbyś mieć zainstalowaną aplikację na telefonie, która szukałaby takiej luki - ale biorąc pod uwagę popularność Fortnite i oczekiwanie na wydanie, jest wysoce prawdopodobne, że istnieją niesmaczne aplikacje, które robią tylko że. Wiele razy złośliwe aplikacje instalowane na telefonach nie zawierają ani jednego exploita, a mają cały ładunek pełen wielu znanych luk do przetestowania, a ten typ ataku może być jednym z nich im.
Jednym dotknięciem możesz pobrać złośliwą aplikację, która miała pełne uprawnienia i dostęp do wszystkich danych w telefonie.
Oto, gdzie wszystko się dzieje naprawdę zły. Ze względu na sposób działania modelu uprawnień Androida nie musisz akceptować instalacji aplikacji z „nieznanych źródeł” po upływie czasu, w którym zaakceptowałeś tę instalację dla Fortnite. Ze względu na sposób działania tego exploita podczas instalacji nic nie wskazuje na to, że pobierasz cokolwiek innego niż Fortnite (a Fortnite Installer też nie ma wiedzy), podczas gdy w tle jest zupełnie inna aplikacja zainstalowany. To wszystko dzieje się zgodnie z oczekiwanym przebiegiem instalacji aplikacji z instalatora Fortnite - akceptujesz instalację, ponieważ myślisz, że instalujesz grę. W szczególności w telefonach Samsung, które pobierają aplikację z Galaxy Apps, sytuacja jest nieco gorsza: nie ma nawet pierwszego monitu o zezwolenie z „nieznanych źródeł”, ponieważ Galaxy Apps jest znanym źródłem. Idąc dalej, ta aplikacja, która została właśnie zainstalowana po cichu, może zadeklarować i zostać przyznana każdy pozwolenie możliwe bez Twojej dalszej zgody. Nie ma znaczenia, czy masz telefon z Androidem Lollipop, czy Android Pielub czy wyłączyłeś „nieznane źródła” po zainstalowaniu instalatora Fortnite - gdy tylko go zainstalujesz, możesz zostać potencjalnie zaatakowany.
Strona Google Issue Tracker dotycząca exploita ma szybkie nagranie ekranu, które pokazuje, jak łatwo użytkownik może pobrać i zainstalować instalator Fortnite, w tym przypadku ze sklepu Galaxy Apps Store, i podejrzewać, że pobierają Fortnite zamiast tego pobiera i instaluje złośliwą aplikację z pełnymi uprawnieniami - kamera, lokalizacja, mikrofon, SMS, pamięć i telefon - o nazwie „Fortnite”. Zajmuje to kilka sekund i nie ma użytkownika interakcja.
Tak, to jest bardzo złe.
Jak możesz się upewnić, że jesteś bezpieczny
Na szczęście firma Epic działała szybko, aby naprawić exploit. Według Epic, exploit został naprawiony mniej niż 48 godzin po powiadomieniu i został wdrożony w każdym Fortnite Instalator, który został zainstalowany wcześniej - użytkownicy muszą po prostu zaktualizować Instalatora, co jest sprawą jednego dotknięcia. Instalator Fortnite, który przyniósł poprawkę, to wersja 2.1.0, którą możesz sprawdzić, uruchamiając instalator Fortnite i przechodząc do jego ustawień. Jeśli z jakiegoś powodu pobrałeś wcześniejszą wersję instalatora Fortnite, wyświetli się monit o zainstalowanie wersji 2.1.0 (lub nowszej) przed zainstalowaniem Fortnite.
Jeśli masz wersję 2.1.0 lub nowszą, jesteś bezpieczny przed tą luką.
Firma Epic Games nie ujawniła informacji o tej luce poza potwierdzeniem, że tak jest naprawiono w wersji 2.1.0 instalatora, więc nie wiemy, czy był aktywnie wykorzystywany w dziki. Jeśli Twój instalator Fortnite jest aktualny, ale nadal martwisz się, czy dotyczy Cię ta luka, możesz odinstalować Fortnite i Fortnite Installer, a następnie ponownie przeprowadź proces instalacji, aby upewnić się, że instalacja Fortnite jest prawowity. Możesz (i powinieneś) również uruchomić skanowanie za pomocą Google Play Protect, aby miejmy nadzieję zidentyfikować wszelkie złośliwe oprogramowanie, jeśli zostało zainstalowane.
Rzecznik Google skomentował tę sytuację:
Bezpieczeństwo użytkowników jest naszym najwyższym priorytetem, a w ramach proaktywnego monitorowania złośliwego oprogramowania zidentyfikowaliśmy lukę w instalatorze Fortnite. Natychmiast powiadomiliśmy Epic Games, a oni naprawili problem.
Firma Epic Games przekazała następujący komentarz CEO Tima Sweeneya:
Firma Epic szczerze doceniła wysiłki firmy Google w celu przeprowadzenia szczegółowego audytu bezpieczeństwa Fortnite natychmiast po naszym wydać na Androida i podzielić się wynikami z Epic, abyśmy mogli szybko wydać aktualizację w celu naprawienia ich usterki odkryty.
Jednak Google było nieodpowiedzialne, aby publicznie ujawnić szczegóły techniczne usterki tak szybko, podczas gdy wiele instalacji nie zostało jeszcze zaktualizowanych i nadal było podatnych na ataki.
Inżynier bezpieczeństwa firmy Epic, za moją namową, poprosił Google o opóźnienie publicznego ujawnienia o typowe 90 dni, aby umożliwić szersze zainstalowanie aktualizacji. Google odmówił. Możesz to wszystko przeczytać pod adresem https://issuetracker.google.com/issues/112630336
Wysiłki Google w zakresie analizy bezpieczeństwa są doceniane i przynoszą korzyści platformie Android, jednak firma tak potężna jak Google powinna ćwiczyć więcej odpowiedzialny czas ujawnienia niż ten i nie zagrażać użytkownikom w trakcie działań kontr-PR przeciwko dystrybucji Fortnite firmy Epic poza Google Play.
Google mógł skoczyć rekina w umyśle Epic, ale ten sposób działania wyraźnie się trzymał Zasady Google dotyczące ujawniania luk 0day.
Czego nauczyliśmy się z tego procesu
Powtórzę coś, co od lat mówi się w Android Central: niezwykle ważne jest, aby instalować tylko aplikacje od firm i programistów, którym ufasz. Ten exploit, choć jest tak zły, nadal wymaga, abyś miał zainstalowany zarówno instalator Fortnite i kolejna złośliwa aplikacja, która żądałaby pobrania bardziej szkodliwego oprogramowania. Przy ogromnej popularności Fortnite istnieje duże prawdopodobieństwo, że te kręgi się pokrywają, ale nie musi się to zdarzać ty.
To jest dokładnie ten rodzaj luki, o którą się martwiliśmy i wydarzyło się to pierwszego dnia.
Jedną z naszych obaw od samego początku przy podejmowaniu decyzji o zainstalowaniu Fortnite poza Sklepem Play było to popularność gry zniweczyłaby ogólny rozsądek ludzi, by trzymać się Sklepu Play dla swoich aplikacji. Jest to rodzaj luki w zabezpieczeniach, która najprawdopodobniej zostanie złapana podczas procesu sprawdzania przy przechodzeniu do Sklepu Play i zostanie naprawiona przed ściągnęła go duża liczba osób. A dzięki Google Play Protect na Twoim telefonie, Google będzie w stanie zdalnie zabić i odinstalować aplikację, gdyby kiedykolwiek wydostała się na wolność.
Ze swojej strony Google nadal zdołał złapać tę lukę, mimo że aplikacja nie jest rozpowszechniana za pośrednictwem Sklepu Play. Wiemy już, że Google Play Protect może skanować aplikacje na Twoim telefonie, nawet jeśli zostały one zainstalowane bezpośrednio z sieci lub innego sklepu z aplikacjami, W tym przypadku proces ten został wsparty przez utalentowany zespół ds. bezpieczeństwa w Google, który znalazł lukę i zgłosił ją do deweloper. Ten proces zwykle odbywa się w tle bez większych fanfar, ale gdy mówimy o aplikacji takiej jak Fortnite z prawdopodobnie dziesiątkami milionów instalacji, pokazuje, jak poważnie Google traktuje bezpieczeństwo Android.
Aktualizacja: Ten artykuł został zaktualizowany o wyjaśnienia dotyczące exploita, a także komentarz dyrektora generalnego Epic Games, Tima Sweeneya.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe budżetowe telefony z Androidem One poniżej 200 USD.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Wzbogać swój smartfon lub tablet najlepszymi pakietami ikon dla Androida.
Możliwość dostosowania urządzenia jest fantastyczna, ponieważ pomaga uczynić je jeszcze bardziej „Twoim”. Dzięki mocy Androida możesz używać programów uruchamiających innych firm do dodawania niestandardowych motywów ikon, a to tylko niektóre z naszych ulubionych.
Andrew Martonik
Andrew jest redaktorem wykonawczym Android Central w USA. Jest entuzjastą urządzeń mobilnych od czasów Windows Mobile, a od 2012 roku zajmuje się wszystkimi kwestiami związanymi z Androidem z wyjątkową perspektywą w AC. Aby uzyskać sugestie i aktualizacje, możesz skontaktować się z nim pod adresem [email protected] lub na Twitterze pod adresem @andrewmartonik.