Epic Fail: Google entdeckt schwere Sicherheitslücke im Fortnite Installer für Android und macht sie öffentlich

google 

Die Entscheidung des Publishers Epic, Fortnite nicht im Play Store zu veröffentlichen hat im Vorfeld für große Diskussionen gesorgt, wurde aber schlussendlich bekanntlich durchgezogen. Vor allem das Thema Sicherheit stand bei den Diskussionen im Fokus und es war nur eine Frage der Zeit, bis es die erste Sicherheitslücke geben wird. Und diese wurde nun ausgerechnet von Google gefunden.


Selten hat ein Android-Spiel im Vorfeld für soviel Aufregung gesorgt wie Fortnite – und das nicht unbedingt wegen des ohnehin schon sehr großen Erfolges auf anderen Plattformen. Viel mehr steht die Ankündigung von Epic, das Fortnite nicht im Play Store erhältlich ist, im Mittelpunkt. Hier findet ihr einen kurzen Überblick:

fortnite android

Ausgerechnet ein Google-Mitarbeiter hat in der vergangenen Woche eine Lücke im Fornite Installer gefunden, also der App, über die das eigentliche Spiel heruntergeladen und installiert wird. Und die hat es gleich in sich: Zwar überprüft der Installer nach dem Download die APK-Datei mit einer Checksumme und verifiziert, dass sie nicht manipuliert wurde, aber vor der Installation gibt es diese Überprüfung nicht – hier wird lediglich der Paketname überprüft.

Ein Angreifer könnte also in dem Punkt zwischen Download und Installation eine beliebige APK-Datei einfügen und diese mit vielen Berechtigungen installieren. Dazu muss man zwar bereits Zugriff auf das Smartphone des Nutzers haben, aber dieser Weg ist eine vermeintlich gute Brücke, um sich weitaus mehr Rechte und Möglichkeiten im Namen des populären Spiels zu sichern.

Ein Google-Mitarbeiter hat diese Lücke in der vergangenen Woche entdeckt und an Epic gemeldet. Der Publisher hat auch schnell reagiert und diese nach nur einem Tag geschlossen – womit das Thema eigentlich erledigt wäre. Doch nun hat Google nach Ablauf der Frist von einer Woche diese Lücke öffentlich gemacht.



On Samsung devices, the Fortnite Installer performs the APK install silently via a private Galaxy Apps API. This API checks that the APK being installed has the package name com.epicgames.fortnite. Consequently the fake APK with a matching package name can be silently installed.
 
If the fake APK has a targetSdkVersion of 22 or lower, it will be granted all permissions it requests at install-time. This vulnerability allows an app on the device to hijack the Fortnite Installer to instead install a fake APK with any permissions that would normally require user disclosure.

Epic ist nun nicht gerade begeistert darüber, dass die Lücke so schnell öffentlich gemacht wurde und bat um eine Schutzfrist von 90 Tagen – doch die wollte Google nicht gewähren. Stattdessen hat das Unternehmen „im Einklang mit den Standards“ die Lücke nach einer Woche öffentlich gemacht und sorgt nun so dafür, dass es erneute Diskussionen um die Sicherheit gibt – die eine Verbreitung eines solch populären Titels außerhalb des Play Stores mitbringt.

Google ist mittlerweile bekannt dafür, in vielen großen Software-Projekten nach Fehlern zu suchen und so dafür zu sorgen, auch diese sicherer zu machen – mehr dazu findet ihr in diesem Artikel: Google Project Zero. Natürlich hat man sich dann auch einem der populärsten Spiele der letzten Jahre angenommen, es ist also nicht unbedingt eine Rache-Aktion – auch wenn man das im ersten Augenblick meinen könnte. Dass man etwas mehr Druck gemacht hat, ist hingegen aber gut möglich.

[AndroidPolice]




Teile diesen Artikel:

Facebook twitter Pocket Pocket