Google hat die Sicherheitsanfälligkeit von Epic im Fortnite Android Installer von Epic entdeckt

944
Jayson Fisher

Google hat bekannt gegeben, dass es in Epics erstem Fortnight-Installationsprogramm für Android eine schwerwiegende Sicherheitslücke entdeckt hat, die es möglicherweise jeder App mit der Berechtigung WRITE_EXTERNAL_STORAGE ermöglicht, die APK sofort nach Abschluss des Downloads und Überprüfung des Fingerabdrucks zu ersetzen.

Laut einem Issutracker-Beitrag eines Googlers erlaubte der Fehler Cyber-Kriminellen, dies zu tun 'leicht' Führen Sie einen Angriff mit einem FileObserver durch. Anschließend installiert der Fortnite Installer die ersetzte (gefälschte) APK.

Wie aus dem Thread hervorgeht, hat Google Epic anscheinend am 15. August über seine Entdeckung informiert. Danach hatte Epic 90 Tage Zeit, um die Fehler gemäß den branchenüblichen Praktiken zu beheben. Wie sich herausstellte, wurde die Sicherheitsanfälligkeit innerhalb weniger Tage behoben, und der Unternehmensvertreter kündigte die Bereitstellung des Patches am 17. an.

Laut Epic InfoSec ändert der Patch das Standard-APK-Speicherverzeichnis von externem in internen Speicher, wodurch Man-in-the-Disk-Angriffe (MITD) während des Installationsablaufs verhindert werden.

Interessant ist, dass Epic Google weiterhin aufgefordert hat, den Fehler nicht für den gesamten Zeitraum von 90 Tagen offenzulegen, damit seine Benutzer Zeit haben, ihre Installationsprogramme zu patchen. Google hat sich jedoch nicht an den Zeitrahmen gehalten und den Thread nur sieben Tage nach der Bereitstellung des Patches gemäß den Standard-Offenlegungspraktiken des Unternehmens für die Öffentlichkeit geöffnet.

Tim Sweeney, CEO von Epic Games, äußerte seine Unzufriedenheit über die frühzeitige Veröffentlichung von Google und nannte es eine 'unverantwortlich' Entscheidung, die unschuldige Benutzer gefährden kann. In einer Erklärung gegenüber Android Central sagte er, "Es war unverantwortlich von Google, die technischen Details des Fehlers so schnell öffentlich bekannt zu geben, während viele Installationen noch nicht aktualisiert wurden und immer noch anfällig waren.".

„Die Bemühungen von Google um Sicherheitsanalysen werden geschätzt und kommen der Android-Plattform zugute. Ein so leistungsfähiges Unternehmen wie Google sollte jedoch ein verantwortungsvolleres Offenlegungs-Timing als dieses praktizieren und die Nutzer im Rahmen seiner PR-Bemühungen gegen die Verbreitung von Fortnite durch Epic außerhalb von Google nicht gefährden Abspielen"

Um zu verstehen, warum Epic und Google derzeit so unzufrieden miteinander sind, muss man die jüngste Hintergrundgeschichte zum Start von Fortnite auf Android kennen. Obwohl das Spiel lange nach seinem Debüt auf iOS endlich auf Android veröffentlicht wurde, beschlossen Epic und Tencent, das Spiel über ihre eigene Plattform und nicht über den Google Play Store zu vertreiben.

Es war größtenteils eine Geschäftsentscheidung für die Publisher des Spiels, die die Einnahmen aus dem Spiel nicht mit Google teilen wollten, das 30 Prozent aller über den Play Store getätigten Einkäufe tätigt. Es versteht sich von selbst, dass der Tech-Riese von der Entscheidung nicht begeistert war, da er allein in diesem Jahr offenbar aufgrund der Situation 50 Millionen Dollar verlieren wird.


Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.