Inhoudsopgave:
- Wat is de kwetsbaarheid en waarom is het zo erg?
- Hoe u ervoor kunt zorgen dat u veilig bent
- Wat we van dit proces hebben geleerd
Google heeft zojuist openbaar gemaakt dat het een uiterst ernstige kwetsbaarheid heeft ontdekt in Epic's eerste Fortnite-installatieprogramma voor Android, waarmee elke app op uw telefoon alles op de achtergrond kon downloaden en installeren, inclusief apps met volledige machtigingen, zonder medeweten van de gebruiker. Het beveiligingsteam van Google heeft het beveiligingslek op 15 augustus voor het eerst privé aan Epic Games bekendgemaakt en heeft sindsdien de informatie openbaar gemaakt na bevestiging van Epic dat het beveiligingslek is hersteld.
Kortom, dit was precies het soort exploit dat Android Central en anderen hadden gevreesd met dit soort installatiesysteem. Dit is wat u moet weten over het beveiligingslek en hoe u ervoor kunt zorgen dat u veilig verder kunt gaan.
Wat is de kwetsbaarheid en waarom is het zo erg?
Als je "Fortnite" gaat downloaden, download je niet echt de hele game, maar eerst de Fortnite Installer. De Fortnite Installer is een eenvoudige app die u downloadt en installeert, die vervolgens de volledige Fortnite-game rechtstreeks van Epic downloadt.
De Fortnite Installer was gemakkelijk te exploiteren om het verzoek om het volledige spel te downloaden te kapen.
Het probleem, zoals het beveiligingsteam van Google ontdekte, was dat de Fortnite Installer zeer gemakkelijk te exploiteren was om het verzoek om Fortnite van Epic te downloaden te kapen en in plaats daarvan alles te downloaden wanneer je op de knop tikt om de game te downloaden. Het is een zogenaamde "man-in-the-disk" -aanval: een app op je telefoon zoekt naar verzoeken om iets van internet te downloaden en onderschept dat verzoek om iets anders te downloaden, zonder het te weten van de originele download-app. Dit is puur mogelijk omdat het Fortnite-installatieprogramma onjuist is ontworpen - het Fortnite-installatieprogramma heeft geen idee dat het alleen het downloaden van malware heeft gefaciliteerd, en tikken op "lanceren" lanceert zelfs de malware.
Om te kunnen worden uitgebuit, moet je een app op je telefoon hebben geïnstalleerd die op zoek was naar zo'n kwetsbaarheid - maar gezien de populariteit van Fortnite en de anticipatie op de release, is het zeer waarschijnlijk dat er ongure apps zijn die er zijn precies dat doen. Vaak hebben kwaadwillende apps die op telefoons zijn geïnstalleerd geen enkele exploit, ze hebben een hele lading vol met bekende kwetsbaarheden om te testen en dit type aanval kan er een van zijn.
Met één tik kunt u een kwaadwillende app downloaden met volledige machtigingen en toegang tot alle gegevens op uw telefoon.
Hier worden de dingen echt slecht. Vanwege de manier waarop het machtigingsmodel van Android werkt, hoeft u de installatie van een app van "onbekende bronnen" niet te accepteren nadat u die installatie voor Fortnite hebt geaccepteerd. Vanwege de manier waarop deze exploit werkt, is er tijdens het installatieproces geen indicatie dat u iets anders dan Fortnite downloadt (en Fortnite Installer heeft ook geen kennis), terwijl op de achtergrond een geheel andere app wordt geïnstalleerd. Dit gebeurt allemaal binnen de verwachte stroom van het installeren van de app van de Fortnite Installer - je accepteert de installatie, omdat je denkt dat je de game installeert. Met name op Samsung-telefoons die de app van Galaxy Apps krijgen, zijn de zaken iets slechter: er is zelfs geen eerste prompt om toe te staan van "onbekende bronnen" omdat Galaxy Apps een bekende bron is. Als je verder gaat, kan die app die net stil is geïnstalleerd, zonder je verdere toestemming alle mogelijke toestemming geven en krijgen. Het maakt niet uit of je een telefoon hebt met Android Lollipop of Android Pie, of dat je "onbekende bronnen" hebt uitgeschakeld na installatie van het Fortnite-installatieprogramma - zodra je het hebt geïnstalleerd, kun je mogelijk worden aangevallen.
De Issue Tracker-pagina van Google voor de exploit heeft een snelle schermopname die laat zien hoe gemakkelijk een gebruiker de Fortnite Installer kan downloaden en installeren, in dit geval vanuit de Galaxy Apps Store, en denkt dat ze Fortnite downloaden terwijl ze in plaats daarvan een kwaadaardig downloaden en installeren app, met volledige machtigingen - camera, locatie, microfoon, sms, opslag en telefoon - "Fortnite" genoemd. Het duurt enkele seconden en er is geen interactie van de gebruiker.
Ja, dit is een behoorlijk slechte.
Hoe u ervoor kunt zorgen dat u veilig bent
Gelukkig heeft Epic snel gehandeld om de exploit op te lossen. Volgens Epic werd de exploit minder dan 48 uur na melding gerepareerd en geïmplementeerd in elke eerder geïnstalleerde Fortnite-installatieprogramma - gebruikers hoeven alleen het installatieprogramma bij te werken, wat een kwestie van één tik is. Het Fortnite-installatieprogramma dat de oplossing heeft gebracht, is versie 2.1.0, die u kunt controleren door het Fortnite-installatieprogramma te starten en naar de instellingen te gaan. Als u om welke reden dan ook een eerdere versie van Fortnite Installer downloadt, wordt u gevraagd om 2.1.0 (of hoger) te installeren voordat Fortnite wordt geïnstalleerd.
Als u versie 2.1.0 of hoger hebt, bent u beschermd tegen dit specifieke beveiligingslek.
Epic Games heeft geen informatie over dit beveiligingslek vrijgegeven, behalve om te bevestigen dat het is opgelost in versie 2.1.0 van het installatieprogramma, dus we weten niet of het actief in het wild werd misbruikt. Als uw Fortnite-installatieprogramma up-to-date is, maar u zich nog steeds zorgen maakt of u door dit beveiligingslek bent getroffen, kunt u Fortnite en het Fortnite-installatieprogramma verwijderen en vervolgens het installatieproces opnieuw doorlopen om te controleren of uw Fortnite-installatie legitiem is. U kunt (en moet) ook een scan uitvoeren met Google Play Protect om hopelijk eventuele malware te identificeren als deze is geïnstalleerd.
Een Google-woordvoerder had de volgende opmerking over de situatie:
Gebruikersbeveiliging is onze topprioriteit en als onderdeel van onze proactieve monitoring op malware hebben we een kwetsbaarheid in het Fortnite-installatieprogramma geïdentificeerd. We hebben Epic Games onmiddellijk op de hoogte gebracht en zij hebben het probleem opgelost.
Epic Games gaf het volgende commentaar van CEO Tim Sweeney:
Epic waardeerde oprecht de inspanningen van Google om een diepgaande beveiligingsaudit van Fortnite uit te voeren onmiddellijk na onze release op Android, en de resultaten met Epic te delen, zodat we snel een update konden uitbrengen om de ontdekte fout te verhelpen.
Het was echter onverantwoordelijk dat Google de technische details van de fout zo snel openbaar maakte, terwijl veel installaties nog niet waren bijgewerkt en nog steeds kwetsbaar waren.
Een Epic-beveiligingsingenieur vroeg op mijn verzoek aan Google om de openbaarmaking gedurende de typische 90 dagen uit te stellen, zodat de update breder kon worden geïnstalleerd. Google weigerde. Je kunt het allemaal lezen op
De beveiligingsanalyses van Google worden op prijs gesteld en komen ten goede aan het Android-platform, maar een bedrijf dat zo krachtig is als Google zou verantwoordelijkere timing voor openbaarmaking moeten toepassen dan dit, en gebruikers niet in gevaar brengen in de loop van zijn tegeninspanningen tegen Epic's distributie van Fortnite buiten Google Play.
Google heeft misschien de haai in het hoofd van Epic gesprongen, maar deze handelwijze volgde duidelijk het beleid van Google voor het bekendmaken van 0day-kwetsbaarheden.
Wat we van dit proces hebben geleerd
Ik herhaal iets dat al jaren op Android Central wordt gezegd: het is ongelooflijk belangrijk om alleen apps te installeren van bedrijven en ontwikkelaars die je vertrouwt. Deze exploit, hoe erg ook, vereist nog steeds dat je zowel de Fortnite Installer hebt geïnstalleerd als een andere kwaadaardige app die het verzoek zou doen om meer schadelijke malware te downloaden. Met de enorme populariteit van Fortnite is er een grote mogelijkheid dat die cirkels elkaar overlappen, maar het hoeft jou niet te overkomen.
Dit is precies het soort kwetsbaarheid waarover we ons zorgen maakten, en het gebeurde op dag 1.
Een van onze zorgen vanaf het begin met de beslissing om Fortnite buiten de Play Store te installeren, was dat de populariteit van de game het algemene gezonde verstand van mensen zou overtreffen om zich aan de Play Store te houden voor hun apps. Dit is het soort kwetsbaarheid dat zeer waarschijnlijk zou kunnen optreden tijdens het beoordelingsproces om de Play Store te betreden en dat zou worden verholpen voordat een groot aantal mensen het zouden downloaden. En met Google Play Protect op uw telefoon, zou Google in staat zijn om de app op afstand te doden en te verwijderen als hij ooit in het wild zou zijn geraakt.
Op zijn beurt slaagde Google er nog steeds in om dit beveiligingslek op te vangen, hoewel de app niet wordt gedistribueerd via de Play Store. We weten al dat Google Play Protect in staat is om apps op uw telefoon te scannen, zelfs als ze rechtstreeks via internet of een andere app store zijn geïnstalleerd. In dit geval werd dat proces ondersteund door een getalenteerd beveiligingsteam bij Google dat de kwetsbaarheid vond en gemeld het aan de ontwikkelaar. Dit proces gebeurt meestal op de achtergrond zonder veel fanfare, maar als we het hebben over een app zoals Fortnite met waarschijnlijk tientallen miljoenen installaties, laat het zien hoe serieus Google de beveiliging in Android neemt.
Update: dit artikel is bijgewerkt met verduidelijkte informatie over de exploit, evenals een opmerking van Tim Sweeney, CEO van Epic Games.
