Google to práve zverejnil že v roku 2006 zistila mimoriadne vážnu zraniteľnosť Prvý inštalátor Fortnite spoločnosti Epic pre Android to umožňovalo akýkoľvek aplikáciu do telefónu na stiahnutie a inštaláciu čokoľvek na pozadí vrátane aplikácií s udelenými úplnými povoleniami bez vedomia používateľa. Bezpečnostný tím spoločnosti Google prvýkrát zverejnil túto chybu zabezpečenia Epic Games 15. augusta, a to aj oznámil odvtedy zverejnil informácie verejne po potvrdení spoločnosti Epic, že ide o zraniteľnosť opravené.
Skrátka toto bolo presne tak druh zneužitia čoho sa Android Central a ďalší obávali, že sa vyskytne pri tomto druhu inštalačného systému. Tu je to, čo potrebujete vedieť o zraniteľnosti a ako zaistiť bezpečnosť vpred.
Verizon ponúka Pixel 4a na nových linkách Unlimited iba za 10 dolárov za mesiac
Čo je to zraniteľnosť a prečo je taká zlá?
Keď si idete stiahnuť „Fortnite“, v skutočnosti si nestiahnete celú hru, najskôr si stiahnete inštalačný program Fortnite. Inštalátor Fortnite je jednoduchá aplikácia, ktorú si stiahnete a nainštalujete a ktorá následne stiahne celú hru Fortnite priamo z Epicu.
Inštalátor Fortnite bol ľahko zneužiteľný na to, aby uniesol požiadavku na stiahnutie celej hry.
Ako zistil bezpečnostný tím spoločnosti Google, problémom bolo, že inštalátor Fortnite bol veľmi ľahko zneužiteľný na to, aby uniesol požiadavku na stiahnutie Fortnite z Epicu a namiesto toho si ho stiahol. čokoľvek keď klepnete na tlačidlo a stiahnete hru. Je to známe ako útok „man-in-the-disk“: aplikácia vo vašom telefóne vyhľadáva požiadavky na stiahnutie niečoho z internetu a namiesto pôvodnej aplikácie na stiahnutie zachytí túto žiadosť. Je to možné čisto preto, lebo inštalátor Fortnite bol navrhnutý nesprávne - inštalátor Fortnite netuší, že to iba uľahčilo stiahnutie škodlivého softvéru, a kliknutím na tlačidlo „spustiť“ sa dokonca spustí program malware.
Aby ste ich mohli zneužiť, musíte mať v telefóne nainštalovanú aplikáciu, ktorá hľadala takúto chybu zabezpečenia - ale vzhľadom na popularita Fortnite a očakávanie vydania, je vysoko pravdepodobné, že existujú nechutné aplikácie, ktoré práve fungujú že. Mnohokrát škodlivé aplikácie, ktoré sú nainštalované v telefónoch, v sebe nemajú iba jednu exploitáciu celé užitočné zaťaženie plné mnohých známych slabých miest na testovanie a týmto typom útoku by mohla byť jedna z ich.
Jedným klepnutím si môžete stiahnuť škodlivú aplikáciu, ktorá mala úplné povolenia a prístup k všetkým údajom v telefóne.
Tu sa dejú veci naozaj zlé. Z dôvodu fungovania modelu povolení systému Android nebudete musieť po prijatí tejto inštalácie pre Fortnite akceptovať inštaláciu aplikácie z „neznámych zdrojov“. Z dôvodu spôsobu, akým toto zneužitie funguje, počas procesu inštalácie nič nenasvedčuje tomu, že sťahujete niečo iné ako Fortnite (a ani Fortnite Installer nemá žiadne vedomosti), zatiaľ čo na pozadí je úplne iná aplikácia nainštalovaný. To všetko sa deje v rámci očakávaného toku inštalácie aplikácie z Fortnite Installer - inštaláciu prijímate, pretože si myslíte, že hru inštalujete. Najmä na telefónoch Samsung, ktoré dostávajú aplikáciu od Galaxy Apps, je to o niečo horšie: neexistuje ani prvá výzva na povolenie od „neznámych zdrojov“, pretože Galaxy Apps sú známym zdrojom. Ďalej, táto aplikácia, ktorá bola práve nainštalovaná v tichosti, môže vyhlásiť a udeliť súhlas každý povolenie je možné bez vášho ďalšieho súhlasu. Nezáleží na tom, či máte telefón s Android Lollipop alebo Android Pie, alebo či ste po nainštalovaní Fortnite Installer vypli „neznáme zdroje“ - hneď ako ste si ho nainštalovali, môžete byť potenciálne napadnutí.
Stránka spoločnosti Google na sledovanie problémov s využitím má rýchle nahrávanie obrazovky, ktoré ukazuje, ako ľahko si môže používateľ stiahnuť a nainštalovať inštalátor Fortnite, v tomto prípade z obchodu Galaxy Apps, a myslí si, že sťahuje Fortnite zatiaľ čo namiesto toho sťahujete a inštalujete škodlivú aplikáciu s úplnými povoleniami - fotoaparát, umiestnenie, mikrofón, SMS, úložisko a telefón - s názvom „Fortnite“. Trvá to pár sekúnd a žiadny užívateľ interakcia.
Áno, je to dosť zlé.
Ako sa môžete ubezpečiť, že ste v bezpečí
Našťastie spoločnosť Epic konala rýchlo, aby zneužitie napravila. Podľa Epicu bol exploit opravený necelých 48 hodín po oznámení a bol nasadený do každého Fortnite Inštalátor, ktorý bol nainštalovaný predtým - používatelia jednoducho musia aktualizovať inštalačný program, čo je záležitosť jedným klepnutím. Inštalátor Fortnite, ktorý priniesol opravu, je verzia 2.1.0, ktorú môžete skontrolovať spustením Inštalátora Fortnite a prechodom na jeho nastavenia. Ak si z nejakého dôvodu chcete stiahnuť staršiu verziu Fortnite Installer, pred inštaláciou Fortnite vás vyzve na inštaláciu verzie 2.1.0 (alebo novšej).
Ak máte verziu 2.1.0 alebo novšiu, ste v bezpečí pred touto konkrétnou chybou zabezpečenia.
Spoločnosť Epic Games nezverejnila informácie o tejto chybe zabezpečenia okrem potvrdenia, že bola opravená vo verzii 2.1.0 inštalátora, takže nevieme, či bola v systéme aktívne využívaná divoký. Ak je váš inštalátor Fortnite aktuálny, ale stále sa obávate, či sa vás táto chyba zabezpečenia dotkla, môžete odinštalovať Fortnite a inštalátor Fortnite, potom znova prejdite procesom inštalácie a uistite sa, že vaša inštalácia Fortnite je legitímne. Môžete (a mali by ste) tiež spustiť skenovanie pomocou aplikácie Google Play Protect, aby ste mohli identifikovať akýkoľvek malware, ak bol nainštalovaný.
Hovorca spoločnosti Google mal k situácii nasledujúci komentár:
Bezpečnosť používateľov je našou najvyššou prioritou a v rámci nášho proaktívneho monitorovania škodlivého softvéru sme identifikovali zraniteľnosť v inštalátore Fortnite. Okamžite sme to oznámili spoločnosti Epic Games a problém vyriešili.
Spoločnosť Epic Games poskytla nasledujúci komentár od generálneho riaditeľa Tima Sweeneyho:
Spoločnosť Epic skutočne ocenila snahu spoločnosti Google vykonať hĺbkový bezpečnostný audit spoločnosti Fortnite bezprostredne po našom vydané v systéme Android a zdieľať výsledky s programom Epic, aby sme mohli rýchlo vydať aktualizáciu, pomocou ktorej odstránime ich chyby objavené.
Bolo však nezodpovedné, aby Google tak rýchlo zverejnil technické podrobnosti chyby, zatiaľ čo mnoho inštalácií ešte nebolo aktualizovaných a stále boli zraniteľné.
Bezpečnostný inžinier spoločnosti Epic, na moje naliehanie, požiadal spoločnosť Google o oneskorenie zverejnenia informácií o typických 90 dní, aby mal čas na rozsiahlejšiu inštaláciu aktualizácie. Google odmietol. Všetko si môžete prečítať na https://issuetracker.google.com/issues/112630336
Úsilie spoločnosti Google v oblasti bezpečnostných analýz je oceňované a prospešné pre platformu Android, avšak rovnako výkonná spoločnosť ako Google by mala praktizovať viac zodpovedné načasovanie zverejnenia informácií a neohrozuje používateľov v priebehu jeho úsilia pôsobiaceho proti PR proti distribúcii spoločnosti Fortic spoločnosti Epic mimo Google Play.
Google možno skočil žralokovi do mysle Epicu, ale tento postup jasne nasledoval Pravidlá spoločnosti Google týkajúce sa zverejnenia 0-denných slabých miest.
Čo sme sa z tohto procesu dozvedeli
Zopakujem niečo, čo sa v systéme Android Central hovorí už roky: je nesmierne dôležité inštalovať iba aplikácie od spoločností a vývojárov, ktorým dôverujete. Aj keď je toto zneužitie také zlé, stále vyžaduje, aby ste mali nainštalovaný inštalátor Fortnite a iná škodlivá aplikácia, ktorá by vyžadovala stiahnutie škodlivejšieho škodlivého softvéru. S obrovskou popularitou Fortnite je veľká pravdepodobnosť, že sa tieto kruhy prekrývajú, ale nemusí sa to stávať ty.
Presne tohto druhu zraniteľnosti sme sa obávali, a stalo sa to v 1. deň.
Jednou z našich obáv od začiatku s rozhodnutím nainštalovať Fortnite mimo Play Store bolo, že popularita hry by prekonala všeobecný rozum ľudí držať sa svojich aplikácií v Obchode Play. Toto je druh zraniteľnosti, ktorá by sa s najväčšou pravdepodobnosťou zachytila v procese kontroly vstupu do Obchodu Play a bola by opravená predtým stiahlo si ho akýkoľvek veľký počet ľudí. Vďaka službe Google Play Protect v telefóne by spoločnosť Google dokázala aplikáciu na diaľku zabiť a odinštalovať, ak by sa niekedy dostala do divočiny.
Pokiaľ ide o túto časť, spoločnosti Google sa podarilo túto chybu zabezpečenia zachytiť, aj keď sa aplikácia nedistribuuje prostredníctvom Obchodu Play. Už vieme, že služba Google Play Protect dokáže skenovať aplikácie vo vašom telefóne, aj keď boli nainštalované priamo z webu alebo iného obchodu s aplikáciami, a v tomto prípade bol tento proces zálohovaný talentovaným bezpečnostným tímom spoločnosti Google, ktorý chybu zistil a nahlásil ju vývojár. Tento proces sa zvyčajne deje na pozadí bez veľkých fanfár, ale keď hovoríme o aplikácii ako Fortnite s pravdepodobnými desiatkami miliónov inštalácií ukazuje, ako vážne berie Google bezpečnosť Android.
Aktualizácia: Tento článok bol aktualizovaný o objasnené informácie o zneužití a tiež o komentár generálneho riaditeľa Epic Games Tima Sweeneyho.
Toto sú najlepšie bezdrôtové slúchadlá do uší, ktoré si môžete kúpiť za každú cenu!
Najlepšie bezdrôtové slúchadlá do uší sú pohodlné, vynikajúco znejú, nestoja príliš veľa a ľahko sa zmestia do vrecka.
Všetko, čo potrebujete vedieť o PS5: Dátum vydania, cena a ďalšie.
Spoločnosť Sony oficiálne potvrdila, že pracuje na PlayStation 5. Tu je všetko, čo o nej zatiaľ vieme.
Spoločnosť Nokia predstavuje dva nové lacné telefóny Android One s cenou do 200 dolárov.
Nokia 2.4 a Nokia 3.4 sú najnovším prírastkom do cenovej ponuky inteligentných telefónov spoločnosti HMD Global. Pretože sú to obe zariadenia Android One, je zaručené, že budú dostávať dve hlavné aktualizácie operačného systému a pravidelné bezpečnostné aktualizácie až na tri roky.
Okoreňte svoj smartphone alebo tablet najlepšími balíčkami ikon pre Android.
Schopnosť prispôsobiť si svoje zariadenie je fantastická, pretože prispieva k tomu, aby bolo vaše zariadenie ešte viac „svoje vlastné“. Vďaka sile systému Android môžete pomocou spúšťačov tretích strán pridať vlastné ikony ikon, ktoré sú len niektorými z našich obľúbených.
Andrew Martonik
Andrew je výkonný editor pre Android v USA pre Android. Od čias Windows Mobile je mobilným nadšencom a od roku 2012 pokrýva všetky veci spojené s Androidom jedinečnou perspektívou na AC. Ak chcete získať návrhy a aktualizácie, môžete ho kontaktovať na adrese [email protected] alebo na Twitteri na adrese @andmartonik.