Inhaltsverzeichnis:
- Was ist die Sicherheitslücke und warum ist sie so schlimm?
- Wie Sie sicherstellen können, dass Sie sicher sind
- Was wir aus diesem Prozess gelernt haben
Google hat soeben öffentlich bekannt gegeben, dass es im ersten Fortnite-Installationsprogramm von Epic für Android eine äußerst schwerwiegende Sicherheitslücke entdeckt hat, die es jeder App auf Ihrem Telefon ermöglicht, im Hintergrund alles herunterzuladen und zu installieren, einschließlich Apps mit vollständigen Berechtigungen, ohne dass der Benutzer dies weiß. Das Sicherheitsteam von Google hat die Sicherheitsanfälligkeit erstmals am 15. August für Epic Games öffentlich bekannt gegeben und die Informationen nach der Bestätigung von Epic, dass die Sicherheitsanfälligkeit behoben wurde, veröffentlicht.
Kurz gesagt, dies war genau die Art von Exploit, von der Android Central und andere befürchteten, dass sie bei dieser Art von Installationssystem auftreten würden. Hier erfahren Sie, was Sie über die Sicherheitsanfälligkeit wissen müssen und wie Sie sicherstellen können, dass Sie in Zukunft sicher sind.
Was ist die Sicherheitslücke und warum ist sie so schlimm?
Wenn du "Fortnite" herunterlädst, lädst du nicht das ganze Spiel herunter, sondern zuerst den Fortnite Installer. Der Fortnite Installer ist eine einfache App, die Sie herunterladen und installieren. Anschließend wird das vollständige Fortnite-Spiel direkt von Epic heruntergeladen.
Das Fortnite-Installationsprogramm war leicht ausnutzbar, um die Anforderung zum Herunterladen des vollständigen Spiels zu entführen.
Das Problem war, wie das Sicherheitsteam von Google feststellte, dass das Fortnite-Installationsprogramm sehr leicht ausgenutzt werden konnte, um die Aufforderung zum Herunterladen von Fortnite von Epic zu hijacken und stattdessen alles herunterzuladen , wenn Sie auf die Schaltfläche tippen, um das Spiel herunterzuladen. Dies wird als Man-in-the-Disk-Angriff bezeichnet: Eine App auf Ihrem Telefon sucht nach Aufforderungen zum Herunterladen von Inhalten aus dem Internet und fängt diese Aufforderung ab, stattdessen etwas anderes herunterzuladen, ohne dass dies der ursprünglichen Download-App bekannt ist. Dies ist nur möglich, weil das Fortnite-Installationsprogramm nicht ordnungsgemäß entwickelt wurde. Das Fortnite-Installationsprogramm hat keine Ahnung, dass es nur den Malware-Download erleichtert, und wenn Sie auf "Start" tippen, wird die Malware sogar gestartet.
Um ausgenutzt zu werden, müsste auf Ihrem Telefon eine App installiert sein, die nach einer solchen Sicherheitsanfälligkeit sucht. Angesichts der Popularität von Fortnite und der erwarteten Veröffentlichung ist es jedoch sehr wahrscheinlich, dass es unangenehme Apps gibt genau das zu tun. Häufig müssen bösartige Apps, die auf Telefonen installiert sind, keinen einzigen Exploit ausführen. Sie müssen eine ganze Nutzlast mit vielen bekannten Sicherheitslücken testen, und diese Art von Angriff kann eine davon sein.
Mit einem Fingertipp können Sie eine bösartige App herunterladen, die über vollständige Berechtigungen verfügt und auf alle Daten Ihres Telefons zugreift.
Hier wird es wirklich schlimm. Aufgrund der Funktionsweise des Android-Berechtigungsmodells müssen Sie die Installation einer App aus "unbekannten Quellen" erst akzeptieren, wenn Sie diese Installation für Fortnite akzeptiert haben. Aufgrund der Funktionsweise dieses Exploits gibt es während des Installationsvorgangs keinen Hinweis darauf, dass Sie etwas anderes als Fortnite herunterladen (und Fortnite Installer hat auch keine Kenntnisse), während im Hintergrund eine völlig andere App installiert wird. Dies alles geschieht innerhalb des erwarteten Installationsablaufs der App vom Fortnite Installer - Sie akzeptieren die Installation, weil Sie glauben, dass Sie das Spiel installieren. Insbesondere bei Samsung-Handys, die die App von Galaxy Apps erhalten, sieht es etwas schlimmer aus: Es gibt nicht einmal eine erste Eingabeaufforderung, die von "unbekannten Quellen" zugelassen wird, da Galaxy Apps eine bekannte Quelle ist. Darüber hinaus kann diese App, die gerade unbeaufsichtigt installiert wurde, ohne Ihre weitere Zustimmung jede mögliche Erlaubnis erteilen. Es spielt keine Rolle, ob Sie ein Telefon mit Android Lollipop oder Android Pie haben oder ob Sie nach der Installation des Fortnite Installer "unbekannte Quellen" ausgeschaltet haben - sobald Sie es installiert haben, können Sie möglicherweise angegriffen werden.
Die Issue Tracker-Seite von Google für den Exploit enthält eine kurze Bildschirmaufzeichnung, die zeigt, wie einfach ein Benutzer das Fortnite-Installationsprogramm herunterladen und installieren kann, in diesem Fall aus dem Galaxy Apps Store, und denkt, er lade Fortnite herunter, während er stattdessen ein bösartiges Programm herunterlädt und installiert App mit allen Berechtigungen - Kamera, Standort, Mikrofon, SMS, Speicher und Telefon - genannt "Fortnite". Es dauert einige Sekunden und keine Benutzerinteraktion.
Ja, das ist ziemlich schlecht.
Wie Sie sicherstellen können, dass Sie sicher sind
Zum Glück hat Epic schnell gehandelt, um den Exploit zu beheben. Laut Epic wurde der Exploit weniger als 48 Stunden nach der Benachrichtigung behoben und für jedes zuvor installierte Fortnite-Installationsprogramm bereitgestellt. Die Benutzer müssen lediglich das Installationsprogramm aktualisieren. Das Fortnite-Installationsprogramm, mit dem das Update veröffentlicht wurde, ist Version 2.1.0. Nach dieser Version können Sie suchen, indem Sie das Fortnite-Installationsprogramm starten und die entsprechenden Einstellungen vornehmen. Wenn Sie aus irgendeinem Grund eine frühere Version von Fortnite Installer herunterladen, werden Sie vor der Installation von Fortnite aufgefordert, 2.1.0 (oder höher) zu installieren.
Wenn Sie über Version 2.1.0 oder höher verfügen, sind Sie vor dieser besonderen Sicherheitsanfälligkeit geschützt.
Epic Games hat keine Informationen zu dieser Sicherheitsanfälligkeit veröffentlicht, die nicht bestätigt wurden, dass sie in Version 2.1.0 des Installationsprogramms behoben wurde. Daher wissen wir nicht, ob sie in freier Wildbahn aktiv ausgenutzt wurde. Wenn Ihr Fortnite-Installationsprogramm auf dem neuesten Stand ist, Sie sich jedoch weiterhin Sorgen darüber machen, ob Sie von dieser Sicherheitsanfälligkeit betroffen sind, können Sie Fortnite und das Fortnite-Installationsprogramm deinstallieren und anschließend den Installationsvorgang erneut durchführen, um sicherzustellen, dass Ihre Fortnite-Installation legitim ist. Sie können (und sollten) auch einen Scan mit Google Play Protect ausführen, um möglicherweise installierte Malware zu identifizieren.
Ein Google-Sprecher äußerte sich folgendermaßen zur Situation:
Die Sicherheit der Benutzer hat für uns oberste Priorität. Im Rahmen unserer proaktiven Überwachung auf Malware haben wir eine Sicherheitslücke im Fortnite-Installationsprogramm festgestellt. Wir haben Epic Games sofort benachrichtigt und das Problem wurde behoben.
Epic Games übermittelte den folgenden Kommentar von CEO Tim Sweeney:
Epic schätzte die Bemühungen von Google, unmittelbar nach unserer Veröffentlichung auf Android eine gründliche Sicherheitsüberprüfung von Fortnite durchzuführen und die Ergebnisse mit Epic zu teilen, damit wir schnell ein Update herausgeben können, um den entdeckten Fehler zu beheben.
Es war jedoch unverantwortlich von Google, die technischen Details des Fehlers so schnell öffentlich zu machen, während viele Installationen noch nicht aktualisiert wurden und immer noch anfällig waren.
Ein Epic-Sicherheitstechniker bat Google, die Veröffentlichung um die üblichen 90 Tage zu verschieben, damit das Update in größerem Umfang installiert werden kann. Google lehnte ab. Sie können alles unter https://issuetracker.google.com/issues/112630336 lesen
Die Sicherheitsanalyse von Google wird geschätzt und kommt der Android-Plattform zugute. Ein so leistungsstarkes Unternehmen wie Google sollte jedoch ein verantwortungsbewussteres Timing für die Offenlegung praktizieren und die Nutzer nicht gefährden, wenn es gegen die Verbreitung von Fortnite durch Epic außerhalb von Google Play vorgeht.
Möglicherweise hat Google den Hai in den Bann gezogen, aber diese Vorgehensweise folgte eindeutig den Richtlinien von Google zur Offenlegung von Sicherheitslücken von 0 Tagen.
Was wir aus diesem Prozess gelernt haben
Ich wiederhole etwas, was schon seit Jahren in Android Central gesagt wird: Es ist unglaublich wichtig, nur Apps von Unternehmen und Entwicklern zu installieren, denen Sie vertrauen. Für diesen Exploit ist es immer noch erforderlich, dass Sie sowohl das Fortnite-Installationsprogramm als auch eine andere bösartige App installiert haben, die den Download schädlicherer Malware anfordert. Aufgrund der großen Beliebtheit von Fortnite besteht die Möglichkeit, dass sich diese Kreise überschneiden, aber das muss Ihnen nicht passieren.
Dies ist genau die Art von Sicherheitslücke, über die wir uns Sorgen machten, und die am ersten Tag aufgetreten ist.
Eine unserer Bedenken von Anfang an bei der Entscheidung, Fortnite außerhalb des Play Stores zu installieren, war, dass die Beliebtheit des Spiels den allgemeinen gesunden Menschenverstand überwältigen würde, sich für ihre Apps an den Play Store zu halten. Dies ist die Art von Sicherheitsanfälligkeit, die sehr wahrscheinlich bei der Überprüfung des Play Store auftritt und behoben wird, bevor eine große Anzahl von Personen sie heruntergeladen hat. Und mit Google Play Protect auf Ihrem Handy könnte Google die App aus der Ferne beenden und deinstallieren, falls sie jemals in der Wildnis landen sollte.
Google hat es dennoch geschafft, diese Sicherheitsanfälligkeit zu beheben, obwohl die App nicht über den Play Store verteilt wird. Wir wissen bereits, dass Google Play Protect Apps auf Ihrem Telefon scannen kann, auch wenn diese direkt aus dem Web oder einem anderen App Store installiert wurden. In diesem Fall wurde dieser Prozess von einem talentierten Sicherheitsteam bei Google gesichert, das die Sicherheitsanfälligkeit festgestellt und gemeldet hat es an den Entwickler. Dieser Prozess findet normalerweise im Hintergrund statt, aber wenn wir über eine App wie Fortnite mit wahrscheinlich zig Millionen Installationen sprechen, zeigt sich, wie ernst Google die Sicherheit in Android nimmt.
Update: Dieser Artikel wurde mit präzisierten Informationen zum Exploit sowie einem Kommentar von Tim Sweeney, CEO von Epic Games, aktualisiert.
