目录:
谷歌刚刚公开透露,它发现Epic的第一款适用于Android的Fortnite安装程序中存在一个非常严重的漏洞,它允许手机上的 任何 应用程序在后台下载和安装 任何内容 ,包括在用户不知情的情况下授予完全权限的应用程序。 谷歌的安全团队于8月15日首次私下向Epic Games披露了该漏洞,并在Epic确认漏洞被修补后公开发布了这些信息。
简而言之,这正是 Android Central和其他人担心这种安装系统会出现的漏洞。 以下是您需要了解的漏洞,以及如何确保您的安全。
什么是漏洞,为什么这么糟糕?
当你去下载“Fortnite”时你并没有真正下载整个游戏,你先下载Fortnite Installer。 Fortnite Installer是一个简单的应用程序,您可以下载并安装,然后直接从Epic下载完整的Fortnite游戏。
Fortnite安装程序很容易被利用来劫持下载完整游戏的请求。
谷歌的安全团队发现,问题是Fortnite Installer非常容易被利用来劫持从Epic下载Fortnite的请求,而是在点击按钮下载游戏时下载任何内容 。 这就是众所周知的“盘中人”攻击:手机上的应用程序会查找从互联网下载内容的请求,并拦截该请求以下载其他内容,而原始下载应用程序并不知情。 这可能纯粹是因为Fortnite安装程序设计不当 - Fortnite安装程序不知道它只是促进了恶意软件下载,并且点击“启动”甚至启动了恶意软件。
为了被利用,您需要在手机上安装一个正在寻找此类漏洞的应用程序 - 但鉴于Fortnite的受欢迎程度以及对该版本的预期,很可能有令人讨厌的应用程序在那里这样做。 很多时候,安装在手机上的恶意应用程序没有对它们进行单一攻击,它们的整个有效载荷中充满了许多已知的漏洞需要进行测试,而这种类型的攻击可能就是其中之一。
只需点击一下,您就可以下载具有完全权限并可访问手机上所有数据的恶意应用。
事情变得 非常 糟糕。 由于Android的权限模型的工作方式,除了您接受Fortnite的安装之外,您不必接受来自“未知来源”的应用程序的安装。 由于此漏洞利用的方式,在安装过程中没有迹象表明您正在下载Fortnite以外的任何东西(Fortnite Installer也不知道),而在后台安装完全不同的应用程序。 这一切都发生在从Fortnite安装程序安装应用程序的预期流程中 - 您接受安装,因为您认为您正在安装游戏。 特别是在从Galaxy Apps获取应用程序的三星手机上,情况稍微糟糕:甚至没有第一个提示允许来自“未知来源”,因为Galaxy Apps是众所周知的来源。 更进一步,那些刚刚安装的应用程序可以声明并在未经您进一步同意的情况下获得 每个 许可。 无论您是使用Android Lollipop还是安装Android手机,或者在安装Fortnite安装程序后是否关闭了“未知来源” - 无论您何时安装它,都可能会受到攻击。
谷歌的漏洞利用程序跟踪页面有一个快速的屏幕录制,显示用户可以轻松下载和安装Fortnite安装程序,在这种情况下从Galaxy Apps Store,并认为他们正在下载Fortnite而不是下载和安装恶意应用程序,具有完全权限 - 相机,位置,麦克风,短信,存储和电话 - 称为“Fortnite”。 它需要几秒钟,没有用户交互。
是的,这是一个非常糟糕的。
如何确保您的安全
值得庆幸的是,Epic迅速采取行动解决漏洞问题。 根据Epic的说法,该漏洞利用程序在收到通知后不到48小时就被修复,并被部署到之前安装的每个Fortnite安装程序中 - 用户只需要更新安装程序,这是一次性事件。 带有修复程序的Fortnite安装程序是版本2.1.0,您可以通过启动Fortnite安装程序并转到其设置来检查。 如果您出于任何原因下载早期版本的Fortnite Installer,它将提示您在安装Fortnite之前安装2.1.0(或更高版本)。
如果您使用的是2.1.0或更高版本,则可以避免此特定漏洞。
Epic Games尚未发布有关此漏洞的信息,除了确认它已在安装程序的2.1.0版本中得到修复,因此我们不知道它是否在野外被积极利用。 如果您的Fortnite安装程序是最新的,但您仍然担心是否受此漏洞的影响,您可以卸载Fortnite和Fortnite安装程序,然后再次完成安装过程以确保您的Fortnite安装是合法的。 您可以(也应该)使用Google Play Protect进行扫描,以便在安装时识别任何恶意软件。
Google发言人就此情况发表了如下评论:
用户安全是我们的首要任务,作为我们主动监控恶意软件的一部分,我们在Fortnite安装程序中发现了一个漏洞。 我们立即通知了Epic Games,他们解决了这个问题。
Epic Games提供了首席执行官Tim Sweeney的以下评论:
Epic真的很感谢Google在Android上发布后立即对Fortnite进行深入的安全审核,并与Epic分享结果,以便我们能够快速发布更新来修复他们发现的漏洞。
然而,谷歌公开披露该漏洞的技术细节是不负责任的,而许多装置尚未更新,仍然容易受到攻击。
在我的催促下,一位史诗安全工程师要求谷歌延迟公开披露90天的时间,以便有时间让更新得到更广泛的安装。 谷歌拒绝了。 您可以在https://issuetracker.google.com/issues/112630336上阅读所有内容
谷歌的安全分析工作受到赞赏并受益于Android平台,但像谷歌这样强大的公司应该实施比这更负责任的披露时间,并且在反对公关在Google Play之外发布Fortnite的反公关努力中不会危及用户。
谷歌可能已经在Epic的脑海中攫取了鲨鱼,但这一行动方针明显遵循了谷歌披露0day漏洞的政策。
我们从这个过程中学到了什么
我将重复Android Central上多年来所说的内容:仅从您信任的公司和开发人员安装应用程序非常重要。 尽管这种漏洞很糟糕,但仍然需要安装Fortnite Installer 和 另一个恶意应用程序才能下载更具破坏性的恶意软件。 随着Fortnite的大规模普及,这些圈子很有可能重叠,但它不一定发生在你身上 。
这正是我们担心的那种漏洞,它发生在第1天。
从一开始就决定在Play商店之外安装Fortnite,我们担心的一个问题是游戏的受欢迎程度会压制人们一般的良好感觉,坚持使用Play商店的应用程序。 这种漏洞很可能会在进入Play商店的审核过程中被捕获,并且会 在 任何大量人员下载 之前 修复。 通过手机上的Google Play Protect,Google可以远程杀死并卸载应用程序(如果它已经进入野外)。
就其本身而言,即使该应用未通过Play商店分发,Google仍设法抓住此漏洞。 我们已经知道Google Play Protect可以扫描您手机上的应用,即使这些应用是直接从网络或其他应用商店安装的,并且在这种情况下,该流程由Google的一个有才华的安全团队支持,该团队发现了该漏洞并进行了报告它给开发者。 这个过程通常在后台发生,而不是大张旗鼓,但当我们谈论像Fortnite这样可能有数千万次安装的应用程序时,它显示了Google在Android中采取安全措施的程度。
更新:本文已更新,其中包含有关漏洞利用的明确信息,以及Epic Games首席执行官Tim Sweeney的评论。
