Prva verzija Fortnite Android aplikacije ima bag koji omogućava napadačima da instaliraju malver na uređaju

Mobilni telefoni, 27.08.2018, 13:00 PM

Prva verzija Fortnite Android aplikacije ima bag koji omogućava napadačima da instaliraju malver na uređaju

Googleovi istraživači otkrili su da je popularna aplikacija Fortnite podložna takozvanim man-in-the-disk napadima. Ova ranjivost omogućava zlonamernim aplikacijama sa malim privilegijama koje su već instalirane na telefonu da preotmu proces instalacije Fortnitea i instaliraju druge zlonamerne programe koji imaju veći nivo dozvola.

Epic Games, koji razvija Fortnite, objavio je verziju 2.1.0 koja rešava problem sa ovakvim napadima.

Koncept MitD napada nedavno su detaljno objasnili istraživači izraelske kompanije Check Point. Pojednostavljeno, MitD napadi su mogući kada Android aplikacija čuva podatke na spoljnim medijima za skladištenje podataka, izvan zaštićenog internog memorijskog prostora.

Napadač može da posmatra spoljni prostor za određenu aplikaciju i manipuliše podacima koji su tu sačuvani jer ovaj prostor dele sve aplikacije.

Aplikacija Fortnite je osetljiva na ovaj napad zato što aplikacija ustvari ne sadrži igru, već je samo instaler. Kada korisnici instaliraju aplikaciju, ovaj instaler koristi spoljnu memoriju uređaja za preuzimanje i instaliranje igre.

"Svaka aplikacija sa dozvolom WRITE_EXTERNAL_STORAGE može zameniti APK odmah nakon što je preuzimanje završeno, a otisak prsta verifikovan.To se lako može uraditi pomoću FileObservera. Fortnite Installer će nastaviti da instalira zamenski (lažni) APK", napisao je Googleov istraživač u izveštaju o ovom bagu. "Ako lažni APK ima targetSdkVersion 22 ili raniju verziju, dobiće se sve dozvole koje zahteva u vreme instalacije. Ova ranjivost dozvoljava aplikaciji na uređaju da preotme Fortnite Installer i da umesto toga instalira lažni APK sa bilo kojim dozvolama koje bi obično zahtevale obaveštavanje korisnika."

Ali proces otkrivanja greške pratila je kontroverza.

"Tražili smo od Googlea da sačeka sa objavljivanjem dok se ažuriranje ne instalira na većem broju uređaja. Oni su odbili, stvarajući nepotreban rizik za Android korisnike kako bi postigli jeftine PR poene", rekao je na Twitteru Tim Svini, izvršni direktor Epic Gamesa.

Google je odbio zahtev Epic Gamesa i objavio izveštaj o bagu prošle nedelje, nedelju dana nakon što je Epic Games objavio svoju zakrpu, a mnogi misle da je to bila osveta zato što je Epic Games povukao Android aplikaciju iz Play prodavnice kako bi zadržao 100% zarade od igre. Ovaj potez je kritikovao veliki broj stručnjaka za bezbednost, koji su upozorili na moguće bezbednosne propuste koji bi mogli proći neprimećeno jer aplikaciju nije proverio Google Bouncer servis pre nego što je došla do uređaja korisnika.

Iako Google nije javno govorio o svojim razlozima zbog kojih nije sačekao sa objavljivanjem informacija o bagu, Svini je otkrio da su Googleovi inženjeri ipak u privatnoj komunikaciji dali objašnjenje za svoju odluku, i da su rekli da oni misle da nije ostalo mnogo nezakrpljenih instalacija.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Zamislite da ste negde u gradu, telefon vam pokazuje pun signal, ali vi ste zapravo povezani na lažnu mrežu koja može da vas špijunira. Zvuči kao... Dalje

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje