Il primo installer fortnite di Epic ha permesso agli hacker di scaricare e installare qualsiasi cosa sul tuo telefono Android in silenzio

Google ha appena rivelato pubblicamente di aver scoperto una vulnerabilità estremamente grave nel primo programma di installazione Fortnite per Android di Epic che ha permesso a qualsiasi app sul tuo telefono di scaricare e installare qualsiasi cosa in background, comprese le app con autorizzazioni complete concesse, all'insaputa dell'utente. Il team di sicurezza di Google ha prima rivelato la vulnerabilità in privato a Epic Games il 15 agosto e da allora ha rilasciato pubblicamente le informazioni a seguito della conferma da parte di Epic che la vulnerabilità era stata corretta.

In breve, questo era esattamente il tipo di exploit che Android Central, e altri, avevano temuto potesse verificarsi con questo tipo di sistema di installazione. Ecco cosa devi sapere sulla vulnerabilità e come assicurarti di andare avanti in sicurezza.

Qual è la vulnerabilità e perché è così grave?

Quando vai a scaricare "Fortnite" in realtà non scarichi l'intero gioco, devi prima scaricare Fortnite Installer. Fortnite Installer è una semplice app che scarichi e installi, che successivamente scarica l'intero gioco Fortnite direttamente da Epic.

Il programma di installazione di Fortnite era facilmente sfruttabile per dirottare la richiesta di scaricare il gioco completo.

Il problema, come scoperto dal team di sicurezza di Google, era che Fortnite Installer era molto facilmente sfruttabile per dirottare la richiesta di scaricare Fortnite da Epic e invece di scaricare qualsiasi cosa quando si tocca il pulsante per scaricare il gioco. È ciò che è noto come un attacco "man-in-the-disk": un'app sul telefono cerca richieste per scaricare qualcosa da Internet e intercetta invece richieste per scaricare qualcos'altro, all'insaputa dell'app di download originale. Ciò è possibile solo perché il programma di installazione di Fortnite è stato progettato in modo errato: il programma di installazione di Fortnite non ha idea che abbia semplicemente facilitato il download del malware e toccando "avvia" si avvia anche il malware.

Per essere sfruttato, dovresti avere un'app installata sul tuo telefono che era alla ricerca di una tale vulnerabilità - ma data la popolarità di Fortnite e l'anticipazione del rilascio, è molto probabile che ci siano app sgradevoli là fuori che sono facendo proprio questo. Molte volte le app dannose installate sui telefoni non hanno un unico exploit, hanno un intero payload pieno di molte vulnerabilità note da testare e questo tipo di attacco potrebbe essere una di queste.

Con un solo tocco, è possibile scaricare un'app dannosa con autorizzazioni complete e accesso a tutti i dati sul telefono.

Ecco dove le cose peggiorano davvero. A causa del modo in cui funziona il modello delle autorizzazioni di Android, non dovrai accettare l'installazione di un'app da "fonti sconosciute" oltre il tempo in cui hai accettato l'installazione per Fortnite. A causa del modo in cui funziona questo exploit, durante il processo di installazione non viene indicato che stai scaricando qualcosa di diverso da Fortnite (e Fortnite Installer non ha alcuna conoscenza), mentre in background viene installata un'app completamente diversa. Tutto ciò accade all'interno del flusso previsto di installazione dell'app dal programma di installazione di Fortnite: accetti l'installazione, perché pensi di installare il gioco. Sui telefoni Samsung che ottengono l'app da Galaxy Apps, in particolare, le cose vanno leggermente peggio: non c'è nemmeno un primo prompt da consentire a "fonti sconosciute" perché Galaxy Apps è una fonte nota. Andando oltre, quell'app che è stata appena installata in silenzio può dichiarare e ottenere tutte le autorizzazioni possibili senza il tuo ulteriore consenso. Non importa se hai un telefono con Android Lollipop o Android Pie o se hai disattivato "fonti sconosciute" dopo aver installato Fortnite Installer - non appena lo avessi installato, potresti essere potenzialmente attaccato.

La pagina Issue Tracker di Google per l'exploit ha una rapida registrazione dello schermo che mostra quanto facilmente un utente può scaricare e installare Fortnite Installer, in questo caso dal Galaxy Apps Store, e pensa che stiano scaricando Fortnite mentre invece scaricano e installano un malware app, con autorizzazioni complete - fotocamera, posizione, microfono, SMS, memoria e telefono - chiamata "Fortnite". Bastano pochi secondi e nessuna interazione da parte dell'utente.

Sì, questo è piuttosto brutto.

Come puoi assicurarti di essere al sicuro

Per fortuna, Epic ha agito rapidamente per correggere l'exploit. Secondo Epic, l'exploit è stato risolto meno di 48 ore dopo essere stato notificato ed è stato distribuito a tutti gli installatori Fortnite che erano stati installati in precedenza: gli utenti devono semplicemente aggiornare l'Installer, che è un affare con un solo tocco. Il programma di installazione Fortnite che ha portato la correzione è la versione 2.1.0, che è possibile verificare avviando il programma di installazione Fortnite e andando alle sue impostazioni. Se per qualsiasi motivo dovessi scaricare una versione precedente di Fortnite Installer, ti verrà richiesto di installare 2.1.0 (o successivo) prima di installare Fortnite.

Se hai la versione 2.1.0 o successive, sei al sicuro da questa particolare vulnerabilità.

Epic Games non ha rilasciato informazioni su questa vulnerabilità oltre a confermare che è stato risolto nella versione 2.1.0 dell'installer, quindi non sappiamo se sia stato sfruttato attivamente in natura. Se il tuo programma di installazione Fortnite è aggiornato, ma sei ancora preoccupato se sei stato interessato da questa vulnerabilità, puoi disinstallare Fortnite e il programma di installazione Fortnite, quindi ripetere il processo di installazione per assicurarti che l'installazione di Fortnite sia legittima. Puoi (e dovresti) anche eseguire una scansione con Google Play Protect per identificare eventualmente il malware se è stato installato.

Un portavoce di Google ha fatto il seguente commento sulla situazione:

La sicurezza degli utenti è la nostra massima priorità e, nell'ambito del nostro monitoraggio proattivo per i malware, abbiamo identificato una vulnerabilità nel programma di installazione di Fortnite. Abbiamo immediatamente informato Epic Games e hanno risolto il problema.

Epic Games ha fornito il seguente commento del CEO Tim Sweeney:

Epic ha davvero apprezzato lo sforzo di Google di eseguire un controllo approfondito della sicurezza di Fortnite immediatamente dopo il nostro rilascio su Android e di condividere i risultati con Epic in modo da poter inviare rapidamente un aggiornamento per correggere il difetto scoperto.

Tuttavia, era irresponsabile che Google rivelasse pubblicamente i dettagli tecnici del difetto così rapidamente, mentre molte installazioni non erano ancora state aggiornate ed erano ancora vulnerabili.

Un tecnico della sicurezza epico, su mia richiesta, ha chiesto a Google di ritardare la divulgazione pubblica per i 90 giorni tipici per consentire il tempo necessario per l'installazione dell'aggiornamento più ampiamente. Google ha rifiutato. Puoi leggere tutto su

Gli sforzi di analisi della sicurezza di Google sono apprezzati e avvantaggiano la piattaforma Android, tuttavia un'azienda potente come Google dovrebbe praticare tempi di divulgazione più responsabili di così, e non mettere in pericolo gli utenti nel corso dei suoi sforzi contro le PR contro la distribuzione di Fortnite di Epic al di fuori di Google Play.

Google potrebbe aver saltato lo squalo nella mente di Epic, ma questo corso di azione ha chiaramente seguito la politica di Google per la divulgazione delle vulnerabilità di 0 giorni.

Cosa abbiamo imparato da questo processo

Ripeterò qualcosa che è stato detto su Android Central ormai da anni: è incredibilmente importante installare solo app di aziende e sviluppatori di cui ti fidi. Questo exploit, per quanto grave, richiedeva ancora che sia installato Fortnite Installer e un'altra app dannosa che avrebbe richiesto di scaricare malware più dannosi. Con l'enorme popolarità di Fortnite c'è una grande possibilità che quei cerchi si sovrappongano, ma non deve succedere a te.

Questo è esattamente il tipo di vulnerabilità di cui eravamo preoccupati, ed è successo il primo giorno.

Una delle nostre preoccupazioni fin dall'inizio con la decisione di installare Fortnite al di fuori del Play Store era che la popolarità del gioco avrebbe sopraffatto il buon senso generale delle persone di attenersi al Play Store per le loro app. Questo è il tipo di vulnerabilità che molto probabilmente verrebbe colto nel processo di revisione di andare sul Play Store e sarebbe stato risolto prima che un gran numero di persone lo scaricasse. E con Google Play Protect sul tuo telefono, Google sarebbe in grado di uccidere e disinstallare in remoto l'app se fosse mai uscita allo stato brado.

Da parte sua, Google è comunque riuscito a rilevare questa vulnerabilità anche se l'app non viene distribuita attraverso il Play Store. Sappiamo già che Google Play Protect è in grado di scansionare le app sul telefono anche se sono state installate direttamente dal Web o da un altro app store, e in questo caso tale processo è stato eseguito il backup da un talentuoso team di sicurezza di Google che ha rilevato la vulnerabilità e segnalato allo sviluppatore. Questo processo in genere si svolge in background senza troppa fanfara, ma quando parliamo di un'app come Fortnite con probabilmente decine di milioni di installazioni, mostra quanto seriamente Google prenda la sicurezza su Android.

Aggiornamento: questo articolo è stato aggiornato con informazioni chiare sull'exploit, nonché un commento del CEO di Epic Games Tim Sweeney.