Błędy zdarzają się każdemu. Jednak te związane z bezpieczeństwem mogą przysporzyć użytkownikom danej aplikacji wiele problemów. Dlatego pracownicy Google interesują się tym, jak zabezpieczone są aplikacje na Androida. Ostatnio znaleźli błąd w instalatorze gry Fortnite, który mógłby zostać wykorzystany przez cyberprzestępców do instalacji dowolnej aplikacji (zwłaszcza szkodliwej) bez wiedzy użytkownika.
Google zostało niedawno jawnie skrytykowane przez Epic Games za zbyt wysoki poziom prowizji od mikropłatności realizowanych za pomocą sklepu Play. Dlatego właśnie gra Fortnite jest dystrybuowana w zupełnie inny sposób, niż większość tytułów dostępnych na Androidzie. Posiadacze Samsungów mogą zainstalować ją z poziomu Galaxy Apps. Natomiast posiadacze smartfonów innych marek muszą pobrać instalator ze strony Epic Games i zezwolić na instalację aplikacji pochodzącej z niezaufanego źródła. Na szczęście w nowych Androidach nie trzeba już aktywować pozwolenia na instalację plików apk pochodzących z dowolnego źródła. Jednak system wyjątków stosowany w systemie Google jest podatny na ataki. Instalator Fortnite oraz Galaxy Apps są traktowane wtedy przez system jako zaufane źródło, co stwarza ryzyko ataku typu Man-in-the-Disk. Polega on na przechwyceniu przez zewnętrzną aplikację żądania pobrania pliku, które jest wysyłane przez instalator gry. W ten sposób gra Fortnite może pobrać i zainstalować dowolną aplikację, a niczego nieświadomy użytkownik ją uruchomi. Poniżej macie krótkie nagranie, które pokazuje jak wygląda tego typu atak.
Epic Games załatało lukę w instalatorze Fortnite w ciągu niecałych 48 godzin
Inżynierowie Google poważnie podchodzą do kwestii bezpieczeństwa użytkowników Androida. Dlatego pracownicy Epic Games zostali od razu poinformowani o znalezionej podatności. Epic Games również zachowało się jak należy. Jeszcze tego samego dnia (był to 15 sierpnia) problem został przekazany do inżynierów, którzy mieli go rozwiązać. Następnego dnia sposób ataku został odtworzony przez pracowników Epic Games, którzy w ciągu kilku godzin opracowali poprawkę i zaczęli ją testować. Poprawiony instalator (wersja 2.1.0) został udostępniony użytkownikom 17 sierpnia. Epic Games poprosiło Google o niepublikowanie informacji opisujących znaleziony błąd przez 90 dni od czasu zgłoszenia. Jest to standardowa polityka stosowana w tego typu zdarzeniach. Jednak pracownicy Google powołali się na inną zasadę. Mówi ona, że gigant z Mountain View może udostępnić opinii publicznej informacje związane z odkrytą lukę 7 dni po tym, jak została ona załatana. Dlatego właśnie 24 sierpnia zostały “odtajnione” rozmowy, które odbywały się za pomocą platformy Google Issue Tracker.
Źródło: Google Issue Tracker, XDA-Developers, AndroidCentral