Оглавление:
- Что такое уязвимость и почему она так плоха?
- Как вы можете быть уверены, что вы в безопасности?
- Что мы узнали из этого процесса
Google только что публично объявил, что обнаружил чрезвычайно серьезную уязвимость в первой программе установки Epic для Android, которая позволяла любому приложению на вашем телефоне загружать и устанавливать все в фоновом режиме, включая приложения с предоставленными полными разрешениями, без ведома пользователя. Команда безопасности Google впервые сообщила об этой уязвимости Epic Games 15 августа и с тех пор опубликовала информацию публично после подтверждения от Epic, что уязвимость была исправлена.
Короче говоря, это был именно тот тип эксплойта, который, как опасались Android Central и другие, может возникнуть с такой установочной системой. Вот что вам нужно знать об уязвимости и как быть уверенным, что вы в безопасности.
Что такое уязвимость и почему она так плоха?
Когда вы загружаете «Fortnite», вы на самом деле не загружаете всю игру, вы сначала загружаете установщик Fortnite. Установщик Fortnite - это простое приложение, которое вы загружаете и устанавливаете, которое затем загружает полную версию игры Fortnite прямо из Epic.
Установщик Fortnite легко использовался для взлома запроса на загрузку полной версии игры.
Проблема, как обнаружила команда безопасности Google, заключалась в том, что установщик Fortnite очень легко использовать для перехвата запроса на загрузку Fortnite из Epic и загрузки чего-либо, когда вы нажимаете кнопку, чтобы загрузить игру. Это так называемая атака «человек на диске»: приложение на вашем телефоне ищет запросы на загрузку чего-либо из Интернета и перехватывает этот запрос на загрузку чего-то другого, без ведома исходного загрузочного приложения. Это возможно только потому, что установщик Fortnite был спроектирован неправильно - установщик Fortnite не подозревает, что он просто облегчил загрузку вредоносного ПО, а нажатие кнопки «запуск» даже запускает вредоносное ПО.
Для того, чтобы их можно было использовать, на вашем телефоне должно быть установлено приложение, которое ищет такую уязвимость, но, учитывая популярность Fortnite и ожидаемый выпуск, весьма вероятно, что существуют вредоносные приложения, которые делает именно это. Часто вредоносные приложения, установленные на телефонах, не имеют ни одного эксплойта, у них есть целая полезная нагрузка, полная множества известных уязвимостей для тестирования, и этот тип атаки может быть одной из них.
Одним касанием вы можете загрузить вредоносное приложение с полными разрешениями и доступом ко всем данным на вашем телефоне.
Вот где все становится действительно плохо. Из-за того, как работает модель разрешений Android, вам не придется принимать установку приложения из «неизвестных источников» после того, как вы приняли эту установку для Fortnite. Из-за того, как работает этот эксплойт, в процессе установки не указывается, что вы загружаете что-либо, кроме Fortnite (и Fortnite Installer также не знает об этом), в то время как в фоновом режиме устанавливается совершенно другое приложение. Все это происходит в рамках ожидаемого потока установки приложения из установщика Fortnite - вы принимаете установку, потому что думаете, что устанавливаете игру. В частности, на телефонах Samsung, которые получают приложение от Galaxy Apps, дела обстоят несколько хуже: нет даже первого приглашения, полученного из «неизвестных источников», поскольку Galaxy Apps является известным источником. Кроме того, это приложение, которое было только что установлено в режиме без вывода сообщений, может объявить и получить любое возможное разрешение без вашего дополнительного согласия. Неважно, есть ли у вас телефон с Android Lollipop или Android Pie, или вы отключили «неизвестные источники» после установки Fortnite Installer - как только вы установите его, вы можете подвергнуться атаке.
На странице Google Explore Issue Tracker есть небольшая экранная запись, показывающая, насколько легко пользователь может загрузить и установить установщик Fortnite, в данном случае из магазина Galaxy Apps, и подумать, что он загружает Fortnite, а вместо этого загружает и устанавливает вредоносное ПО. Приложение с полными разрешениями - камера, местоположение, микрофон, SMS, хранилище и телефон - называется "Fortnite". Это занимает несколько секунд и не требует взаимодействия с пользователем.
Да, это довольно плохо.
Как вы можете быть уверены, что вы в безопасности?
К счастью, Epic действовал быстро, чтобы исправить эксплойт. Согласно Epic, эксплойт был исправлен менее чем через 48 часов после получения уведомления и был развернут на каждом ранее установленном Fortnite Installer - пользователям просто нужно обновить Installer, что является делом одним касанием. Установщик Fortnite, который принес исправление, - это версия 2.1.0, которую вы можете проверить, запустив Установщик Fortnite и перейдя к его настройкам. Если по какой-либо причине вы скачали более раннюю версию Fortnite Installer, она предложит вам установить 2.1.0 (или более позднюю) перед установкой Fortnite.
Если у вас версия 2.1.0 или выше, вы защищены от этой конкретной уязвимости.
Epic Games не выпустила информацию об этой уязвимости, за исключением подтверждения того, что она была исправлена в версии 2.1.0 программы установки, поэтому мы не знаем, активно ли она использовалась в дикой природе. Если у вас установлен Fortnite Installer, но вы все еще беспокоитесь о том, была ли эта уязвимость затронута вами, вы можете удалить Fortnite и Fortnite Installer, а затем снова пройти процесс установки, чтобы убедиться в правильности установки Fortnite. Вы также можете (и должны) запустить сканирование с помощью Google Play Protect, чтобы надеяться идентифицировать любое вредоносное ПО, если оно было установлено.
Представитель Google прокомментировал ситуацию следующим образом:
Безопасность пользователей является нашим главным приоритетом, и в рамках проактивного мониторинга вредоносных программ мы выявили уязвимость в установщике Fortnite. Мы немедленно уведомили Epic Games, и они исправили проблему.
Epic Games предоставила следующий комментарий от генерального директора Тима Суини:
Epic искренне ценит усилия Google по проведению тщательного аудита безопасности Fortnite сразу же после нашего выпуска на Android, и делится результатами с Epic, чтобы мы могли быстро выпустить обновление, чтобы исправить обнаруженный недостаток.
Однако Google безответственно публично раскрывал технические подробности этой ошибки, хотя многие установки еще не были обновлены и оставались уязвимыми.
Инженер по безопасности Epic, по моему настоянию, попросил Google отложить публичное раскрытие информации на типичные 90 дней, чтобы дать время для более широкой установки обновления. Гугл отказался. Вы можете прочитать все это на
Усилия Google по анализу безопасности высоко ценятся и приносят пользу платформе Android, однако такая мощная компания, как Google, должна придерживаться более ответственных сроков раскрытия информации, чем эта, и не подвергать опасности пользователей в ходе своих усилий по борьбе с пиаром против распространения Epic Fortnite за пределами Google Play.,
Google, возможно, всколыхнул акулу в голове Epic, но этот курс действий явно следовал политике Google в отношении раскрытия уязвимостей на 0 дней.
Что мы узнали из этого процесса
Я повторю то, что было сказано в Android Central уже много лет: невероятно важно устанавливать приложения только от компаний и разработчиков, которым вы доверяете. Для этого эксплойта, несмотря на все его недостатки, по-прежнему требуется, чтобы у вас был установлен и Fortnite Installer, и другое вредоносное приложение, которое могло бы запросить загрузку более вредоносного вредоносного ПО. С огромной популярностью Fortnite есть большая вероятность того, что эти круги пересекаются, но это не должно случиться с вами.
Это именно та уязвимость, о которой мы беспокоились, и это произошло в первый день.
С самого начала, когда мы решили установить Fortnite за пределами Play Store, мы были обеспокоены тем, что популярность игры перевесит здравый смысл людей, предпочитающих Play Store для своих приложений. Это та самая уязвимость, которая, скорее всего, будет обнаружена в процессе проверки входа в Play Store и будет исправлена до того, как ее загрузит большое количество людей. А с помощью Google Play Protect на вашем телефоне Google сможет удаленно убивать и удалять приложение, если оно когда-нибудь выйдет в дикую природу.
Со своей стороны, Google все же удалось уловить эту уязвимость, хотя приложение не распространяется через Play Store. Мы уже знаем, что Google Play Protect может сканировать приложения на вашем телефоне, даже если они были установлены непосредственно из Интернета или другого магазина приложений, и в этом случае этот процесс был поддержан талантливой командой безопасности в Google, которая обнаружила уязвимость и сообщила это разработчику. Этот процесс обычно происходит в фоновом режиме без особой помехи, но когда мы говорим о приложении, подобном Fortnite, с вероятностью десятков миллионов установок, оно показывает, насколько серьезно Google относится к безопасности в Android.
Обновление: эта статья была обновлена с уточненной информацией об эксплойте, а также с комментарием от генерального директора Epic Games Тима Суини.