Índice:
- Qual é a vulnerabilidade e por que é tão ruim?
- Como você pode ter certeza de que está seguro
- O que aprendemos com esse processo
O Google acaba de divulgar publicamente que descobriu uma vulnerabilidade extremamente séria no primeiro instalador da Epic para Android, que permitia que qualquer aplicativo em seu telefone baixasse e instalasse qualquer coisa em segundo plano, incluindo aplicativos com permissões totais concedidas, sem o conhecimento do usuário. A equipe de segurança do Google divulgou a vulnerabilidade pela primeira vez em particular para a Epic Games em 15 de agosto e desde então divulgou as informações publicamente após a confirmação da Epic de que a vulnerabilidade foi corrigida.
Em resumo, esse era exatamente o tipo de exploração que o Android Central e outros temiam que ocorresse com esse tipo de sistema de instalação. Aqui está o que você precisa saber sobre a vulnerabilidade e como garantir a segurança no futuro.
Qual é a vulnerabilidade e por que é tão ruim?
Quando você faz o download do "Fortnite", na verdade, não faz o download do jogo inteiro, faz o download do Instalador do Fortnite primeiro. O Instalador do Fortnite é um aplicativo simples que você baixa e instala, que posteriormente baixa o jogo completo do Fortnite diretamente da Epic.
O Instalador do Fortnite foi facilmente explorável para seqüestrar a solicitação de download do jogo completo.
O problema, como a equipe de segurança do Google descobriu, era que o Instalador do Fortnite era muito facilmente explorável para seqüestrar a solicitação de download do Fortnite da Epic e, em vez disso, fazer o download de qualquer coisa quando você clica no botão para baixar o jogo. É o que chamamos de ataque "homem em disco": um aplicativo no telefone procura solicitações para baixar algo da Internet e intercepta essa solicitação para baixar outra coisa, sem o conhecimento do aplicativo de download original. Isso é possível apenas porque o Fortnite Installer foi projetado incorretamente - o Fortnite Installer não tem idéia de que apenas facilitou o download do malware e, ao tocar em "launch", até o malware é iniciado.
Para ser explorado, você precisaria ter um aplicativo instalado em seu telefone que procurasse tal vulnerabilidade - mas, dada a popularidade do Fortnite e a antecipação do lançamento, é altamente provável que existam aplicativos desagradáveis por aí. fazendo exatamente isso. Muitas vezes, os aplicativos mal-intencionados instalados nos telefones não têm uma única exploração, eles têm uma carga útil cheia de muitas vulnerabilidades conhecidas para testar, e esse tipo de ataque pode ser um deles.
Com um toque, você pode baixar um aplicativo mal-intencionado com permissões totais e acesso a todos os dados do seu telefone.
Aqui é onde as coisas ficam realmente ruins. Devido à forma como o modelo de permissões do Android funciona, você não precisará aceitar a instalação de um aplicativo de "fontes desconhecidas" além do tempo em que você aceitou a instalação do Fortnite. Devido à maneira como essa exploração funciona, não há indicação durante o processo de instalação de que você esteja baixando outra coisa senão o Fortnite (e o Fortnite Installer também não tem conhecimento), enquanto em segundo plano um aplicativo totalmente diferente está sendo instalado. Tudo isso acontece dentro do fluxo esperado de instalação do aplicativo pelo Fortnite Installer - você aceita a instalação porque pensa que está instalando o jogo. Nos telefones Samsung que obtêm o aplicativo do Galaxy Apps, em particular, as coisas são um pouco piores: não há sequer um primeiro prompt para permitir "fontes desconhecidas" porque o Galaxy Apps é uma fonte conhecida. Indo além, o aplicativo que acabou de ser instalado silenciosamente pode declarar e obter todas as permissões possíveis sem o seu consentimento adicional. Não importa se você possui um telefone com Android Lollipop ou Android Pie, ou se desativou "fontes desconhecidas" após instalar o Fortnite Installer - assim que o instalou, você pode ser atacado.
A página Rastreador de problemas do Google para a exploração possui uma rápida gravação de tela que mostra a facilidade com que um usuário pode baixar e instalar o Fortnite Installer, neste caso da Galaxy Apps Store, e acha que está baixando o Fortnite enquanto baixa e instala um software malicioso. aplicativo, com permissões totais - câmera, local, microfone, SMS, armazenamento e telefone - chamado "Fortnite". Demora alguns segundos e nenhuma interação do usuário.
Sim, isso é muito ruim.
Como você pode ter certeza de que está seguro
Felizmente, a Epic agiu rapidamente para corrigir a falha. De acordo com a Epic, a exploração foi corrigida menos de 48 horas após a notificação e foi implantada em todos os Fortnite Installer que foram instalados anteriormente - os usuários simplesmente precisam atualizar o Installer, que é um caso de um toque. O instalador do Fortnite que trouxe a correção é a versão 2.1.0, que você pode verificar iniciando o instalador do Fortnite e acessando suas configurações. Se você, por qualquer motivo, baixasse uma versão anterior do Fortnite Installer, ele solicitará a instalação do 2.1.0 (ou posterior) antes de instalar o Fortnite.
Se você possui a versão 2.1.0 ou posterior, está protegido contra esta vulnerabilidade específica.
A Epic Games não divulgou informações sobre esta vulnerabilidade além de confirmar que ela foi corrigida na versão 2.1.0 do instalador, portanto, não sabemos se ela foi ativamente explorada na natureza. Se o seu Instalador do Fortnite estiver atualizado, mas você ainda estiver preocupado com a possibilidade de ter sido afetado por esta vulnerabilidade, poderá desinstalar o Fortnite e o Instalador do Fortnite e, em seguida, passar pelo processo de instalação novamente para garantir que a instalação do Fortnite seja legítima. Você também pode (e deve) executar uma verificação com o Google Play Protect para, esperançosamente, identificar qualquer malware, se ele estiver instalado.
Um porta-voz do Google fez o seguinte comentário sobre a situação:
A segurança do usuário é nossa principal prioridade e, como parte de nosso monitoramento proativo de malware, identificamos uma vulnerabilidade no instalador do Fortnite. Notificamos imediatamente a Epic Games e eles resolveram o problema.
A Epic Games forneceu o seguinte comentário do CEO Tim Sweeney:
A Epic genuinamente apreciou o esforço do Google para realizar uma auditoria de segurança detalhada do Fortnite imediatamente após o lançamento no Android e compartilhar os resultados com a Epic para que pudéssemos emitir rapidamente uma atualização para corrigir a falha que descobriram.
No entanto, era irresponsável do Google divulgar publicamente os detalhes técnicos da falha tão rapidamente, enquanto muitas instalações ainda não haviam sido atualizadas e ainda estavam vulneráveis.
Um engenheiro de segurança da Epic, a meu pedido, solicitou ao Google que adiasse a divulgação pública nos 90 dias típicos para permitir tempo para que a atualização fosse mais amplamente instalada. O Google recusou. Você pode ler tudo em
Os esforços de análise de segurança do Google são apreciados e beneficiam a plataforma Android, no entanto, uma empresa tão poderosa quanto o Google deve praticar um tempo de divulgação mais responsável do que isso, e não colocar em risco os usuários durante seus esforços de contra-relações públicas contra a distribuição da Epic pela Fortnite fora do Google Play.
O Google pode ter despertado o tubarão na mente da Epic, mas esse curso de ação seguiu claramente a política do Google de divulgação de vulnerabilidades de 0 dia.
O que aprendemos com esse processo
Repito algo que já foi dito no Android Central há anos: é incrivelmente importante instalar apenas aplicativos de empresas e desenvolvedores nos quais você confia. Essa exploração, por pior que seja, ainda requer que você tenha o Fortnite Installer instalado e outro aplicativo mal-intencionado que solicite o download de malware mais prejudicial. Com a enorme popularidade do Fortnite, há uma grande possibilidade de que esses círculos se sobreponham, mas isso não precisa acontecer com você.
Esse é exatamente o tipo de vulnerabilidade com a qual estávamos preocupados, e aconteceu no primeiro dia.
Uma das nossas preocupações desde o início com a decisão de instalar o Fortnite fora da Play Store era que a popularidade do jogo superaria o bom senso geral das pessoas em manter a Play Store para seus aplicativos. Esse é o tipo de vulnerabilidade que provavelmente seria detectado no processo de revisão de acesso à Play Store e seria corrigido antes que um grande número de pessoas fizesse o download. E com o Google Play Protect no seu telefone, o Google poderá matar e desinstalar remotamente o aplicativo, se algum dia for lançado na natureza.
Por seu lado, o Google ainda conseguiu capturar essa vulnerabilidade, mesmo que o aplicativo não esteja sendo distribuído pela Play Store. Já sabemos que o Google Play Protect pode digitalizar aplicativos no seu telefone, mesmo que tenham sido instalados diretamente da Web ou de outra loja de aplicativos. Nesse caso, esse processo foi feito por uma talentosa equipe de segurança do Google que encontrou a vulnerabilidade e relatou para o desenvolvedor. Esse processo geralmente ocorre em segundo plano sem muita alarde, mas quando estamos falando de um aplicativo como o Fortnite com provavelmente dezenas de milhões de instalações, mostra o quão seriamente o Google leva a segurança no Android.
Atualização: este artigo foi atualizado com informações esclarecidas sobre a exploração, bem como um comentário do CEO da Epic Games, Tim Sweeney.
