Epic Fail: Google entdeckt schwere Sicherheitslücke im Fortnite Installer für Android und macht sie öffentlich
Die Entscheidung des Publishers Epic, Fortnite nicht im Play Store zu veröffentlichen hat im Vorfeld für große Diskussionen gesorgt, wurde aber schlussendlich bekanntlich durchgezogen. Vor allem das Thema Sicherheit stand bei den Diskussionen im Fokus und es war nur eine Frage der Zeit, bis es die erste Sicherheitslücke geben wird. Und diese wurde nun ausgerechnet von Google gefunden.
Selten hat ein Android-Spiel im Vorfeld für soviel Aufregung gesorgt wie Fortnite – und das nicht unbedingt wegen des ohnehin schon sehr großen Erfolges auf anderen Plattformen. Viel mehr steht die Ankündigung von Epic, das Fortnite nicht im Play Store erhältlich ist, im Mittelpunkt. Hier findet ihr einen kurzen Überblick:
- Fortnite für Android: Der Spielehit wird wohl nur außerhalb des Play Stores vertrieben – mit großen Folgen
- Fortnite für Android: Jetzt Offiziell – Der Spielehit wird NICHT über den Play Store vertrieben
- Gefährlicher Präzedenzfall: Epics Fortnite umgeht den Play Store und stellt Google vor neue Probleme
- Fortnite umgeht den Play Store: Sind die Gebühren für Entwickler im Google Play Store zu hoch?
- Fortnite für Android zum Download: Google warnt im Play Store vor möglichen Plagiaten
- Marktforscher: Fortnites Umgehung des Play Stores kostet Google über 50 Millionen Dollar
- Fortnite für Android Download: Beta-Programm ist jetzt auch für Nicht-Samsung-Smartphones gestartet
Ausgerechnet ein Google-Mitarbeiter hat in der vergangenen Woche eine Lücke im Fornite Installer gefunden, also der App, über die das eigentliche Spiel heruntergeladen und installiert wird. Und die hat es gleich in sich: Zwar überprüft der Installer nach dem Download die APK-Datei mit einer Checksumme und verifiziert, dass sie nicht manipuliert wurde, aber vor der Installation gibt es diese Überprüfung nicht – hier wird lediglich der Paketname überprüft.
Ein Angreifer könnte also in dem Punkt zwischen Download und Installation eine beliebige APK-Datei einfügen und diese mit vielen Berechtigungen installieren. Dazu muss man zwar bereits Zugriff auf das Smartphone des Nutzers haben, aber dieser Weg ist eine vermeintlich gute Brücke, um sich weitaus mehr Rechte und Möglichkeiten im Namen des populären Spiels zu sichern.
Ein Google-Mitarbeiter hat diese Lücke in der vergangenen Woche entdeckt und an Epic gemeldet. Der Publisher hat auch schnell reagiert und diese nach nur einem Tag geschlossen – womit das Thema eigentlich erledigt wäre. Doch nun hat Google nach Ablauf der Frist von einer Woche diese Lücke öffentlich gemacht.
On Samsung devices, the Fortnite Installer performs the APK install silently via a private Galaxy Apps API. This API checks that the APK being installed has the package name com.epicgames.fortnite. Consequently the fake APK with a matching package name can be silently installed.
If the fake APK has a targetSdkVersion of 22 or lower, it will be granted all permissions it requests at install-time. This vulnerability allows an app on the device to hijack the Fortnite Installer to instead install a fake APK with any permissions that would normally require user disclosure.
Epic ist nun nicht gerade begeistert darüber, dass die Lücke so schnell öffentlich gemacht wurde und bat um eine Schutzfrist von 90 Tagen – doch die wollte Google nicht gewähren. Stattdessen hat das Unternehmen „im Einklang mit den Standards“ die Lücke nach einer Woche öffentlich gemacht und sorgt nun so dafür, dass es erneute Diskussionen um die Sicherheit gibt – die eine Verbreitung eines solch populären Titels außerhalb des Play Stores mitbringt.
Google ist mittlerweile bekannt dafür, in vielen großen Software-Projekten nach Fehlern zu suchen und so dafür zu sorgen, auch diese sicherer zu machen – mehr dazu findet ihr in diesem Artikel: Google Project Zero. Natürlich hat man sich dann auch einem der populärsten Spiele der letzten Jahre angenommen, es ist also nicht unbedingt eine Rache-Aktion – auch wenn man das im ersten Augenblick meinen könnte. Dass man etwas mehr Druck gemacht hat, ist hingegen aber gut möglich.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter