Obsah:
- Čo je zraniteľnosť a prečo je tak zlá?
- Ako sa môžete uistiť, že ste v bezpečí
- Čo sme sa naučili z tohto procesu
Spoločnosť Google práve zverejnila, že v prvom inštalátore Fortnite pre Android spoločnosti Epic, ktorý umožnil ktorejkoľvek aplikácii v telefóne sťahovať a inštalovať čokoľvek na pozadí, vrátane aplikácií s úplnými udelenými povoleniami, bez vedomia používateľa, objavila mimoriadne závažnú zraniteľnosť. Tím spoločnosti Google pre zabezpečenie zabezpečenia prvýkrát odhalil túto chybu zabezpečenia súkromne pre spoločnosť Epic Games 15. augusta a odvtedy tieto informácie zverejnil verejne po potvrdení spoločnosti Epic, že táto chyba bola opravená.
Stručne povedané, toto bol presne taký druh zneužitia, ktorý sa Android Central a ďalší obávali, že dôjde pri tomto druhu inštalačného systému. Tu je to, čo potrebujete vedieť o zraniteľnosti a o tom, ako zaistiť, že budete v bezpečí.
Čo je zraniteľnosť a prečo je tak zlá?
Ak sťahujete súbor „Fortnite“, stiahnete si celú hru, najprv si stiahnete inštalačný program Fortnite. The Fortnite Installer je jednoduchá aplikácia, ktorú si stiahnete a nainštalujete a ktorá následne stiahne celú hru Fortnite priamo z Epic.
Inštalátor Fortnite bol ľahko využiteľný na unesenie žiadosti o stiahnutie plnej hry.
Problémom, ako zistil bezpečnostný tím spoločnosti Google, bolo to, že inštalátor Fortnite bol veľmi ľahko zneužiteľný na to, aby uniesol žiadosť o stiahnutie Fortnite z Epic a namiesto toho stiahol čokoľvek, keď klepnutím na tlačidlo stiahnete hru. Je to takzvaný útok typu „muž na disku“: aplikácia v telefóne hľadá žiadosti o prevzatie niečo z internetu a zachytí túto žiadosť namiesto toho, aby nepoznala pôvodnú aplikáciu na stiahnutie. Je to možné iba preto, že inštalátor Fortnite bol navrhnutý nesprávne - inštalačný program Fortnite netuší, že to len uľahčilo sťahovanie škodlivého softvéru a kliknutím na tlačidlo „Spustiť“ sa malware dokonca spustí.
Aby ste ich mohli využívať, musíte mať v telefóne nainštalovanú aplikáciu, ktorá hľadala takúto zraniteľnosť - ale vzhľadom na popularitu spoločnosti Fortnite a očakávanie vydania je veľmi pravdepodobné, že tam existujú nechcené aplikácie, ktoré sú len to. Škodlivé aplikácie, ktoré sú nainštalované v telefónoch, ich často nevyužívajú, majú celé užitočné zaťaženie plné testovaných zraniteľností a tento typ útoku by mohol byť jedným z nich.
Jedným ťuknutím si môžete stiahnuť škodlivú aplikáciu, ktorá má úplné povolenia a prístup ku všetkým údajom v telefóne.
Tu sú veci naozaj zlé. Z dôvodu spôsobu fungovania modelu povolení systému Android nebudete musieť akceptovať inštaláciu aplikácie z „neznámych zdrojov“ po čase, keď ste túto inštaláciu pre Fortnite akceptovali. Z dôvodu spôsobu, akým toto zneužívanie funguje, počas inštalačného procesu nič nenasvedčuje tomu, že sťahujete niečo iné ako Fortnite (a ani inštalačný program Fortnite nemá vedomosti), zatiaľ čo v pozadí sa inštaluje úplne iná aplikácia. To všetko sa deje v rámci očakávaného priebehu inštalácie aplikácie z inštalátora Fortnite - súhlasíte s inštaláciou, pretože si myslíte, že inštalujete hru. Najmä na telefónoch Samsung, ktoré dostávajú aplikáciu z aplikácií Galaxy Apps, je situácia o niečo horšia: nie je tu ani prvá výzva na povolenie z „neznámych zdrojov“, pretože Galaxy Apps je známym zdrojom. Táto aplikácia, ktorá bola práve nainštalovaná v tichom režime, môže vyhlásiť a môže udeliť všetky možné povolenia bez vášho ďalšieho súhlasu. Nezáleží na tom, či máte telefón so systémom Android Lollipop alebo Android Pie, alebo či ste po inštalácii programu Fortnite Installer vypli „neznáme zdroje“ - ihneď po inštalácii by ste mohli byť napadnutí.
Stránka spoločnosti Google na sledovanie problémov pre využitie má rýchly záznam obrazovky, ktorý ukazuje, ako ľahko môže používateľ stiahnuť a nainštalovať inštalačný program Fortnite, v tomto prípade z obchodu Galaxy Apps Store, a myslí si, že sťahuje Fortnite, zatiaľ čo namiesto toho sťahuje a inštaluje škodlivý softvér. app, s úplnými povoleniami - fotoaparát, umiestnenie, mikrofón, SMS, ukladací priestor a telefón - nazývaný „Fortnite“. Trvá to niekoľko sekúnd a žiadna interakcia používateľa.
Áno, je to celkom zlé.
Ako sa môžete uistiť, že ste v bezpečí
Našťastie, Epic konal rýchlo, aby odstránil zneužitie. Podľa spoločnosti Epic bolo zneužitie opravené menej ako 48 hodín po oznámení a bolo nasadené na všetkých inštalačných programov Fortnite, ktoré boli predtým nainštalované - používatelia jednoducho potrebujú aktualizovať inštalačný program, čo je záležitosť jedným klepnutím. Inštalátor Fortnite, ktorý priniesol opravu, je verzia 2.1.0, ktorú môžete skontrolovať spustením inštalátora Fortnite a prechodom na jeho nastavenia. Ak ste z akéhokoľvek dôvodu stiahli staršiu verziu programu Fortnite Installer, pred inštaláciou programu Fortnite sa zobrazí výzva na inštaláciu verzie 2.1.0 (alebo novšej).
Ak máte verziu 2.1.0 alebo novšiu, ste v bezpečí pred touto konkrétnou chybou zabezpečenia.
Spoločnosť Epic Games nezverejnila informácie o tejto zraniteľnosti okrem potvrdenia, že bola opravená vo verzii 2.1.0 inštalačného programu, takže nevieme, či bola vo voľnej prírode aktívne zneužitá. Ak je váš inštalačný program Fortnite aktuálny, ale stále sa obávate, či vás táto chyba zabezpečenia ovplyvnila, môžete odinštalovať program Fortnite a inštalačný program Fortnite a potom znova prejdite procesom inštalácie, aby ste sa uistili, že vaša inštalácia Fortnite je oprávnená. Môžete (a mali by ste) tiež spustiť kontrolu pomocou služby Google Play Protect, aby ste dúfali, že zistíte akýkoľvek malware, ak bol nainštalovaný.
Hovorca spoločnosti Google mal k situácii nasledujúci komentár:
Bezpečnosť používateľov je našou najvyššou prioritou a ako súčasť nášho proaktívneho monitorovania škodlivého softvéru sme v inštalátore Fortnite identifikovali zraniteľnosť. Okamžite sme informovali spoločnosť Epic Games a problém vyriešili.
Epic Games poskytol nasledujúci komentár od generálneho riaditeľa Tim Sweeney:
Spoločnosť Epic skutočne ocenila úsilie spoločnosti Google vykonať hĺbkový bezpečnostný audit spoločnosti Fortnite bezprostredne po vydaní verzie pre systém Android a zdieľať výsledky s spoločnosťou Epic, aby sme mohli rýchlo vydať aktualizáciu na odstránenie zistenej chyby.
Spoločnosť Google však nezodpovedala za zverejnenie technických podrobností o chybe tak rýchlo, zatiaľ čo mnoho inštalácií ešte nebolo aktualizovaných a stále boli zraniteľné.
Inžinier zabezpečenia spoločnosti Epic na moje naliehanie požiadal spoločnosť Google o oddialenie zverejnenia za obvyklých 90 dní, aby mal čas na rozsiahlejšie nainštalovanie aktualizácie. Google odmietol. Môžete si to prečítať na adrese
Úsilie spoločnosti Google o bezpečnostnú analýzu je oceňované a prospieva platforme Android. Spoločnosť, ktorá je taká výkonná, ako je spoločnosť Google, by však mala praktikovať zodpovednejšie načasovanie zverejnenia ako toto, a neohroziť používateľov v priebehu svojho úsilia v boji proti PR o distribúciu spoločnosti Fortnite spoločnosti Epic mimo služby Google Play.,
Google pravdepodobne preskočil žraloka v mysli spoločnosti Epic, ale tento postup jasne nasledoval politiku spoločnosti Google týkajúcu sa odhalenia zraniteľností za 0 dní.
Čo sme sa naučili z tohto procesu
Zopakujem niečo, čo sa v službe Android Central hovorí už roky: je nesmierne dôležité inštalovať iba aplikácie od spoločností a vývojárov, ktorým dôverujete. Táto exploitácia, tak zlá ako je, stále vyžaduje, aby ste mali nainštalovaný inštalačný program Fortnite a ďalšiu škodlivú aplikáciu, ktorá by prinútila žiadosť o stiahnutie škodlivého škodlivého softvéru. S obrovskou popularitou Fortnite existuje veľká možnosť, že sa tieto kruhy prekrývajú, ale nemusí sa vám to stať.
To je presne ten druh zraniteľnosti, o ktorý sme sa obávali, a stalo sa to 1. deň.
Jednou z našich obáv od začiatku pri rozhodovaní o inštalácii Fortnite mimo obchodu Play bolo, že popularita hry by premohla všeobecný dobrý zmysel ľudí držať sa v obchode Play pre svoje aplikácie. Toto je druh zraniteľnosti, ktorý by sa pravdepodobne dostal do procesu kontroly vstupu do Obchodu Play a opravil by sa skôr, ako si ho stiahne akýkoľvek veľký počet ľudí. A so službou Google Play Protect v telefóne by spoločnosť Google mohla aplikáciu na diaľku zabiť a odinštalovať, ak by sa niekedy dostala do voľnej prírody.
Spoločnosť Google túto chybu zabezpečenia stále dokázala zachytiť, aj keď aplikácia nie je distribuovaná prostredníctvom Obchodu Play. Už vieme, že služba Google Play Protect dokáže na vašom telefóne skenovať aplikácie, aj keď boli nainštalované priamo z webu alebo z iného obchodu s aplikáciami. V tomto prípade bol tento proces zálohovaný talentovaným bezpečnostným tímom v spoločnosti Google, ktorý túto chybu zistil a nahlásil ju to vývojárovi. Tento proces sa zvyčajne odohráva na pozadí bez väčšieho fanfára, ale keď hovoríme o aplikácii ako Fortnite s pravdepodobnými desiatkami miliónov inštalácií, ukazuje to, ako vážne spoločnosť Google berie bezpečnosť v systéme Android.
Aktualizácia: Tento článok bol aktualizovaný o objasnené informácie o zneužívaní, ako aj o komentár od generálneho riaditeľa spoločnosti Epic Games Tim Sweeney.
