Google acaba de revelar públicamente que descubrió una vulnerabilidad extremadamente grave en el primer instalador Fortnite de Epic para Android que permitía que cualquier aplicación en su teléfono descargara e instalara cualquier cosa en segundo plano, incluidas aplicaciones con permisos completos otorgados, sin el conocimiento del usuario. El equipo de seguridad de Google reveló por primera vez la vulnerabilidad de forma privada a Epic Games el 15 de agosto, y desde entonces ha publicado la información luego de que Epic confirmara que la vulnerabilidad fue reparada.
En resumen, este era exactamente el tipo de exploit que Android Central y otros temían que ocurriera con este tipo de sistema de instalación. Esto es lo que necesita saber sobre la vulnerabilidad y cómo asegurarse de estar seguro en el futuro.
¿Qué es la vulnerabilidad y por qué es tan mala?
Cuando vas a descargar "Fortnite", en realidad no descargas todo el juego, primero descargas el instalador de Fortnite. Fortnite Installer es una aplicación simple que descarga e instala, que luego descarga el juego Fortnite completo directamente desde Epic.
El instalador de Fortnite se podía explotar fácilmente para secuestrar la solicitud de descargar el juego completo.
El problema, como descubrió el equipo de seguridad de Google, era que el instalador de Fortnite era muy fácil de explotar para secuestrar la solicitud de descarga de Fortnite de Epic y, en su lugar, descargar cualquier cosa cuando toca el botón para descargar el juego. Es lo que se conoce como un ataque de "hombre en el disco": una aplicación en su teléfono busca solicitudes para descargar algo de Internet e intercepta esa solicitud para descargar otra cosa en su lugar, sin que la aplicación de descarga original lo sepa. Esto es posible simplemente porque el instalador de Fortnite se diseñó incorrectamente; el instalador de Fortnite no tiene idea de que solo facilitó la descarga de malware, y tocar "iniciar" incluso inicia el malware.
Para ser explotado, necesitaría tener una aplicación instalada en su teléfono que buscaba tal vulnerabilidad, pero dada la popularidad de Fortnite y la anticipación del lanzamiento, es muy probable que haya aplicaciones desagradables que están haciendo solo eso. Muchas veces, las aplicaciones maliciosas que se instalan en los teléfonos no tienen un solo exploit, tienen una carga completa llena de muchas vulnerabilidades conocidas para probar, y este tipo de ataque podría ser una de ellas.
Con un toque, podía descargar una aplicación maliciosa que tenía permisos completos y acceso a todos los datos de su teléfono.
Aquí es donde las cosas se ponen realmente mal. Debido a la forma en que funciona el modelo de permisos de Android, no tendrá que aceptar la instalación de una aplicación de "fuentes desconocidas" más allá del momento en que aceptó esa instalación para Fortnite. Debido a la forma en que funciona este exploit, no hay indicios durante el proceso de instalación de que esté descargando algo que no sea Fortnite (y Fortnite Installer tampoco tiene conocimiento), mientras que en segundo plano se está instalando una aplicación completamente diferente. Todo esto sucede dentro del flujo esperado de instalación de la aplicación desde el instalador de Fortnite: aceptas la instalación porque crees que estás instalando el juego. En los teléfonos Samsung que obtienen la aplicación de Galaxy Apps, en particular, las cosas son un poco peores: ni siquiera hay un primer aviso para permitir de "fuentes desconocidas" porque Galaxy Apps es una fuente conocida. Yendo más allá, esa aplicación que acaba de instalarse en silencio puede declarar y recibir todos los permisos posibles sin su consentimiento adicional. No importa si tiene un teléfono con Android Lollipop o Android Pie, o si desactivó las "fuentes desconocidas" después de instalar Fortnite Installer tan pronto como lo instaló, podría ser atacado.
La página de seguimiento de problemas de Google para el exploit tiene una grabación de pantalla rápida que muestra la facilidad con la que un usuario puede descargar e instalar Fortnite Installer, en este caso desde Galaxy Apps Store, y pensar que está descargando Fortnite mientras descarga e instala un programa malicioso. aplicación, con todos los permisos de cámara, ubicación, micrófono, SMS, almacenamiento y teléfono llamado "Fortnite". Tarda unos segundos y no hay interacción del usuario.
Sí, esta es bastante mala.
Cómo puedes asegurarte de que estás a salvo
Afortunadamente, Epic actuó rápidamente para solucionar el exploit. Según Epic, el exploit se solucionó menos de 48 horas después de recibir la notificación y se implementó en todos los instaladores de Fortnite que se habían instalado previamente. Los usuarios simplemente necesitan actualizar el instalador, que es un asunto de un solo toque. El instalador de Fortnite que trajo la solución es la versión 2.1.0, que puede verificar iniciando el instalador de Fortnite y accediendo a su configuración. Si, por cualquier motivo, descargó una versión anterior de Fortnite Installer, se le pedirá que instale 2.1.0 (o posterior) antes de instalar Fortnite.
Si tiene la versión 2.1.0 o posterior, está a salvo de esta vulnerabilidad en particular.
Epic Games no ha publicado información sobre esta vulnerabilidad aparte de confirmar que se solucionó en la versión 2.1.0 del instalador, por lo que no sabemos si se explotó activamente en la naturaleza. Si su instalador de Fortnite está actualizado, pero aún le preocupa si se vio afectado por esta vulnerabilidad, puede desinstalar Fortnite y el instalador de Fortnite, luego realizar el proceso de instalación nuevamente para asegurarse de que su instalación de Fortnite sea legítima. También puede (y debe) ejecutar un escaneo con Google Play Protect para identificar cualquier malware si se instaló.
Un portavoz de Google hizo el siguiente comentario sobre la situación:
La seguridad del usuario es nuestra principal prioridad y, como parte de nuestro monitoreo proactivo de malware, identificamos una vulnerabilidad en el instalador de Fortnite. Inmediatamente notificamos a Epic Games y solucionaron el problema.
Epic Games proporcionó el siguiente comentario del CEO Tim Sweeney:
Epic realmente apreció el esfuerzo de Google por realizar una auditoría de seguridad exhaustiva de Fortnite inmediatamente después de nuestro lanzamiento en Android, y compartió los resultados con Epic para que pudiéramos publicar rápidamente una actualización para corregir la falla que descubrieron. Sin embargo, fue irresponsable por parte de Google divulgar públicamente los detalles técnicos de la falla con tanta rapidez, mientras que muchas instalaciones aún no se habían actualizado y aún eran vulnerables. instalarse más ampliamente. Google se negó. Puede leerlo todo en https://issuetracker.google.com/issues/112630336 Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android, sin embargo, una empresa tan poderosa como Google debería practicar un tiempo de divulgación más responsable que este y no poner en peligro a los usuarios. en el curso de sus esfuerzos contra las relaciones públicas contra la distribución de Fortnite por parte de Epic fuera de Google Play.
Es posible que Google haya saltado al tiburón en la mente de Epic, pero este curso de acción siguió claramente la política de Google para la divulgación de vulnerabilidades de día cero.
Lo que aprendimos de este proceso
Repetiré algo que se ha dicho en Android Central durante años: es increíblemente importante instalar solo aplicaciones de compañías y desarrolladores en los que confíes. Este exploit, a pesar de lo malo que es, aún requiere que tenga instalado Fortnite Installer y otra aplicación maliciosa que solicitaría descargar malware más dañino. Con la enorme popularidad de Fortnite, existe una gran posibilidad de que esos círculos se superpongan, pero no tiene por qué sucederte a ti.
Este es exactamente el tipo de vulnerabilidad que nos preocupaba y sucedió el día 1.
Una de nuestras preocupaciones desde el principio con la decisión de instalar Fortnite fuera de Play Store fue que la popularidad del juego superaría el buen sentido general de las personas para apegarse a Play Store para sus aplicaciones. Este es el tipo de vulnerabilidad que muy probablemente quedaría atrapada en el proceso de revisión de ir a Play Store, y se solucionaría antes de que un gran número de personas la descargara. Y con Google Play Protect en su teléfono, Google podría matar y desinstalar la aplicación de forma remota si alguna vez saliera a la luz.
Por su parte, Google aún logró detectar esta vulnerabilidad a pesar de que la aplicación no se distribuye a través de Play Store. Ya sabemos que Google Play Protect puede escanear aplicaciones en su teléfono, incluso si se instalaron directamente desde la web o desde otra tienda de aplicaciones, y en este caso ese proceso fue respaldado por un talentoso equipo de seguridad de Google que encontró la vulnerabilidad e informó. al desarrollador. Este proceso generalmente ocurre en segundo plano sin mucha fanfarria, pero cuando hablamos de una aplicación como Fortnite con probablemente decenas de millones de instalaciones, muestra cuán en serio Google se toma la seguridad en Android.
Actualización: este artículo se ha actualizado con información aclarada sobre el exploit, así como un comentario del CEO de Epic Games, Tim Sweeney.