Prikaži glavni meni

Prva verzija Fortnite Android aplikacije ima bag koji omogućava napadačima da instaliraju malver na uređaju

Mobilni telefoni, 27.08.2018, 13:00 PM

Googleovi istraživači otkrili su da je popularna aplikacija Fortnite podložna takozvanim man-in-the-disk napadima. Ova ranjivost omogućava zlonamernim aplikacijama sa malim privilegijama koje su već instalirane na telefonu da preotmu proces instalacije Fortnitea i instaliraju druge zlonamerne programe koji imaju veći nivo dozvola.

Epic Games, koji razvija Fortnite, objavio je verziju 2.1.0 koja rešava problem sa ovakvim napadima.

Koncept MitD napada nedavno su detaljno objasnili istraživači izraelske kompanije Check Point. Pojednostavljeno, MitD napadi su mogući kada Android aplikacija čuva podatke na spoljnim medijima za skladištenje podataka, izvan zaštićenog internog memorijskog prostora.

Napadač može da posmatra spoljni prostor za određenu aplikaciju i manipuliše podacima koji su tu sačuvani jer ovaj prostor dele sve aplikacije.

Aplikacija Fortnite je osetljiva na ovaj napad zato što aplikacija ustvari ne sadrži igru, već je samo instaler. Kada korisnici instaliraju aplikaciju, ovaj instaler koristi spoljnu memoriju uređaja za preuzimanje i instaliranje igre.

"Svaka aplikacija sa dozvolom WRITE_EXTERNAL_STORAGE može zameniti APK odmah nakon što je preuzimanje završeno, a otisak prsta verifikovan.To se lako može uraditi pomoću FileObservera. Fortnite Installer će nastaviti da instalira zamenski (lažni) APK", napisao je Googleov istraživač u izveštaju o ovom bagu. "Ako lažni APK ima targetSdkVersion 22 ili raniju verziju, dobiće se sve dozvole koje zahteva u vreme instalacije. Ova ranjivost dozvoljava aplikaciji na uređaju da preotme Fortnite Installer i da umesto toga instalira lažni APK sa bilo kojim dozvolama koje bi obično zahtevale obaveštavanje korisnika."

Ali proces otkrivanja greške pratila je kontroverza.

"Tražili smo od Googlea da sačeka sa objavljivanjem dok se ažuriranje ne instalira na većem broju uređaja. Oni su odbili, stvarajući nepotreban rizik za Android korisnike kako bi postigli jeftine PR poene", rekao je na Twitteru Tim Svini, izvršni direktor Epic Gamesa.

Google je odbio zahtev Epic Gamesa i objavio izveštaj o bagu prošle nedelje, nedelju dana nakon što je Epic Games objavio svoju zakrpu, a mnogi misle da je to bila osveta zato što je Epic Games povukao Android aplikaciju iz Play prodavnice kako bi zadržao 100% zarade od igre. Ovaj potez je kritikovao veliki broj stručnjaka za bezbednost, koji su upozorili na moguće bezbednosne propuste koji bi mogli proći neprimećeno jer aplikaciju nije proverio Google Bouncer servis pre nego što je došla do uređaja korisnika.

Iako Google nije javno govorio o svojim razlozima zbog kojih nije sačekao sa objavljivanjem informacija o bagu, Svini je otkrio da su Googleovi inženjeri ipak u privatnoj komunikaciji dali objašnjenje za svoju odluku, i da su rekli da oni misle da nije ostalo mnogo nezakrpljenih instalacija.