Fortnite, vulnerabilità nell'Installer per Android consentiva di installare malware
Nell'Installer originale di Fortnite per Android era presente una grave falla di sicurezza che avrebbe consentito ad un eventuale aggressore di installare qualsiasi APK sul terminale
di Nino Grasso pubblicata il 27 Agosto 2018, alle 12:01 nel canale VideogamesFortniteEpicAndroid
Lo scorso aprile Fortnite è sbarcato su mobile, raggiungendo App Store e la piattaforma iOS di Apple dopo un periodo in cui si poteva partecipare solo a invito. Su Android è arrivato ad inizio agosto con la presentazione del nuovo Samsung Galaxy Note 9, aggirando Google Play Store e favorendo l'installazione attraverso un'app dedicata. Il motivo è facile da spiegare: Epic ha cercato di aggirare il pagamento a Google del 30% di commissioni sugli acquisti effettuati dai player.
In risposta Google è riuscita a rilevare una falla di sicurezza potenzialmente molto pericolosa nel modo che utilizzava al lancio Fortnite per scaricare i contenuti di gioco e installarli sul dispositivo. Come documentato sull'Issue Tracker di Google, un ingegnere ha scoperto che "qualsiasi app con il permesso WRITE_EXTERNAL_STORAGE può sostituire l'APK immediatamente dopo che il download è stato completato e l'impronta del possessore dello smartphone è stata verificata".
Il processo, scrive l'ingegnere noto come Edward, può essere eseguito semplicemente con un FileObserver, che consente ad un utente malintenzionato di inserire un APK fake (anche fraudolento) all'interno del processo di download che verrà infine installato sul dispositivo. Sui terminali Galaxy l'Installer esegue l'installazione dell'APK attraverso API proprietarie Samsung, che verificano semplicemente che il nome del package sia quello atteso: com.epicgames.fortnite.
Secondo Google, quindi, è sufficiente rinominare il pacchetto perché qualsiasi APK possa venire installato attraverso l'Installer modificato di Fortnite. Il problema si è manifestato con l'Installer originale del videogioco best-seller di Epic ed è stato comunque corretto. L'ingegnere Google ha indicato infatti che sarebbe stato sufficiente "usare una directory privata di storage interno, e non esterno, per evitare la falla" ed è quello che ha fatto Epic Games dopo la divulgazione del bug.
Il CEO della compagnia, Tim Sweeney, ha già commentato sull'inopportuna fretta nella pubblicazione della vulnerabilità da parte di Google: "Epic apprezza in maniera genuina lo sforzo di Google nell'esecuzione approfondita delle analisi di sicurezza su Fortnite già da subito dopo il rilascio su Android, e anche il fatto che ha condiviso i risultati con Epic in modo da rilasciare prontamente un aggiornamento per risolvere la falla scoperta".
"È stato però irresponsabile da parte di Google pubblicare i dettagli tecnici della vulnerabilità così velocemente, quando ancora molte delle installazioni non erano state aggiornate e rimanevano pertanto vulnerabili", ha infine completato il CEO di Epic Games.
ASUS ROG Astral GeForce RTX 5090 OC: esagerata in tutto
CRESCO8, la Formula 1 dell’HPC: ENEA e Lenovo insieme per affrontare le sfide della ricerca
HONOR 400 Lite: quando l'AI incontra la fotografia mobile a poco prezzo. Recensione
La missione cinese Tianwen-2, diretta verso un asteroide, potrebbe essere lanciata il 29 maggio
Tesla potrebbe dover risarcire oltre 4 milioni di automobilisti per pubblicità ingannevole negli USA
InstaVolt presenta un sistema di protezione per impedire il furto dei cavi alle colonnine
Acer espande la gamma Nitro con nuovi modelli equipaggiati con GPU GeForce RTX Serie 50
Il remake di Oblivion con Unreal Engine 5 già la prossima settimana? Ecco le prime immagini
L'IA serve a supportare i lavoratori? 'Stro**ate! Li sta sostituendo del tutto'. Le parole dell'esperto
HONOR Power: lo smartphone con la batteria da 8.000mAh è ufficiale! Prezzo e disponibilità
G.Skill e ASUS segnano un nuovo record per le memorie DDR5: toccati i 12772 MT/s
Hyundai Mobis: ecco la batteria con estinzione automatica degli incendi
Indiana Jones e l'antico Cerchio è ora disponibile in accesso anticipato su PS5
Android, i dispositivi bloccati per 3 giorni si riavvieranno da soli: la nuova feature di sicurezza
Ansia tecnologica: sotto quale percentuale di batteria gli utenti iniziano a preoccuparsi?
Dall'Università di Berkeley la batteria agli ioni di litio che funziona anche da attorcigliata, perforata e tagliata
EcoFlow STREAM: il kit solare modulare che punta ad azzerare la bolletta
7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoEpic non ti paga l'obolo? Spiattella in tempo zero la falla mentre Epic sta distribuendo la patch e metti a rischio i tuoi stessi clienti Android.
La decenza imporrebbe di attendere 90 giorni cosa che si fa dall'alba dei tempi, persino con il caso dell'ultimo anno di meltdown e spectre è stata fatta. Ma Google è più interessata a sgambettare Epic e difendere i suoi interessi economici piuttosto che tutelare chi utilizza il suo OS.
Epic non ti paga l'obolo? Spiattella in tempo zero la falla mentre Epic sta distribuendo la patch e metti a rischio i tuoi stessi clienti Android.
La decenza imporrebbe di attendere 90 giorni cosa che si fa dall'alba dei tempi, persino con il caso dell'ultimo anno di meltdown e spectre è stata fatta. Ma Google è più interessata a sgambettare Epic e difendere i suoi interessi economici piuttosto che tutelare chi utilizza il suo OS.
THIS
L'articolo non chiarisce quali siano stati i tempi, solo che Epic si sia lamentata. Tu hai informazioni precise?
Per quel che si sa ora io non escluderei che i tempi siano quelli standard che google concede a chiunque.
Oltretutto sappiamo bene che annunciare la falla è in realtà un sistema che migliora la sicurezza, perchè consente all'utente di prendere provvedimenti (tra questi l'eliminazione dell'applicazione vulnerabile).
Certo, avrebbero per lo meno potuto evitare di diffondere i dettagli, se però la patch è già pronta e gli utenti stanno già aggiornando le loro installazioni non mi pare che ci sia questo grande rischio.
Ad ogni modo non mi pare sia un problema di "pagare l'obolo". Epyc ha voluto usare un installer proprio e Google, che ha una divisione che si occupa di queste cose, giustamente ha voluto controllarlo. Non mi sembra un complotto contro Epyc perchè non ha voluto utilizzare il Play Store.
Già mi immagino i commenti se qualcun altro l'avesse scoperto, tutti a dare contro a Google perchè non fa controlli di sicurezza.
Persino? Si tratta di un caso di portata ampissima e di estrema gravità, quindi a maggior ragione vengono prese precauzioni. In questo caso poi l'attesa è stata ben più lunga dei 90 giorni che citi.
Per quel che si sa ora io non escluderei che i tempi siano quelli standard che google concede a chiunque.
Oltretutto sappiamo bene che annunciare la falla è in realtà un sistema che migliora la sicurezza, perchè consente all'utente di prendere provvedimenti (tra questi l'eliminazione dell'applicazione vulnerabile).
Certo, avrebbero per lo meno potuto evitare di diffondere i dettagli, se però la patch è già pronta e gli utenti stanno già aggiornando le loro installazioni non mi pare che ci sia questo grande rischio.
Ad ogni modo non mi pare sia un problema di "pagare l'obolo". Epyc ha voluto usare un installer proprio e Google, che ha una divisione che si occupa di queste cose, giustamente ha voluto controllarlo. Non mi sembra un complotto contro Epyc perchè non ha voluto utilizzare il Play Store.
Già mi immagino i commenti se qualcun altro l'avesse scoperto, tutti a dare contro a Google perchè non fa controlli di sicurezza.
Persino? Si tratta di un caso di portata ampissima e di estrema gravità, quindi a maggior ragione vengono prese precauzioni. In questo caso poi l'attesa è stata ben più lunga dei 90 giorni che citi.
Stai deliberatamente annacquando il dibattito sollevando interrogativi senza esserti informato su nulla. Visto che il giochetto è vecchio come il cucco e mira solo a rilanciare l'argomento sino a quando uno dei due si stanca stringerò su fatti e conclusione.
- l'installer è stato rilasciato un paio di settimane fa e non 3 mesi fa
- Google ha dichiarato che il suo ricercatore ha scoperto la falla il 15 agosto
- poche ore dopo, durante il 0-day, Epic ha rilasciato la patch
- 7 giorni dopo la distribuzione della patch, seguendo la sua politica di diffusione delle informazioni, Google ha reso pubblica e nei dettagli la cosa
Sarebbe tutto ok se non fosse che, la zelante Google, in più occasioni ha disatteso la sua politica vedi l'exploit Stagefright che la colpì direttamente nel 2015. E quale sarà stato mai il motivo se non la shit storm contro Epic? La sicurezza?
La sicurezza l'avrebbe garantita comunque non diffondendo nel dettaglio la falla e lasciando qualche giorno in più a disposizione di EPIC per metter al sicuro quanti più dispositivi possibili.
Personalmente di Fortnite mi frega poco quanto nulla e su Android meno che meno, posso però ritenermi tranquillamente disgustato dalla presa di posizione di Google che ha messo una ripicca d'inanzi all'insicurezza del suo OS.
lol? Annacquando il dibattito? Deliberatamente poi? machestaiadi'!
Io sto commentando l'articolo, se hai altre informazioni (e vedo che le hai) perchè non le hai condivise subito? Il tuo post sembrava una semplice sparata "io odio google", così com'era.
Però non ho ben capito una cosa. Tu stesso dici che Google ha seguito la sua politica di diffusione delle informazioni come fa con tutti gli altri, quindi perchè parli di "shitstorm" contro Epyc? Se sta applicando a tutti la stessa misura (esclusi magari casi eccezionali come quello di Spectre e Meltdown) non sta facendo l'esatto contrario del prendere di mira qualcuno, con l'accusa poi di averlo fatto perchè questo qualcuno ha deciso di non passare per il Play Store?
O mi sono perso qualcosa?
Hanno fatto l'infamata, un atteggiamento indifendibile.
No, lui ha scritto che fregandosene delle possibili ripercussioni per gli utenti android, Google non ha perso occasione per danneggiare qualcuno che non ha voluto far passare la sua app dallo store.
Ad ogni modo non mi pare sia un problema di "pagare l'obolo". Epyc ha voluto usare un installer proprio e Google, che ha una divisione che si occupa di queste cose, giustamente ha voluto controllarlo. Non mi sembra un complotto contro Epyc perchè non ha voluto utilizzare il Play Store.
Giustamente sullo store TUTTE le app vengono controllate, sono così rari i casi di malware smerciati tramite il loro store... La tua analisi sembra forzatamente ingenua, ma tu lo saprai già.
Al contrario, pubblicarla permette di rendere noto il problema ed evitare a chiunque (non solo Epic può incorrere in problematiche di questo tipo) di ricadere nello stesso errore.
L'unico aspetto un po' dubbio è l'aver pubblicato i dettagli quando ancora tutte le installazioni non erano state patchate, avrebbero potuto aspettare qualche giorno (visto che comunque la reazione di Epyc mi pare sia stata repentina) e non ci sarebbe stata nessuna polemica.
A me pare che si stia montando un caso sul (quasi) nulla: come in altre occasioni google ha reso note le vulnerabilità con tempistiche che non hanno fatto piacere ai creatori del software, solo che siccome stavolta Epyc ha voluto evitare il Play Store, allora deve essere una punizione di google nei loro confronti. A me pare una logica un po' forzata.
E la tua analisi pare forzatamente tendenziosa, e credo che anche tu lo sappia bene.
È ben noto che nell'enorme massa di applicazioni presenti sullo store c'è sempre chi riesce ad aggirare i controlli, ma non vedo come questo possa avere a che fare con le scelte di google in questo caso.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".