Fortnite Android: Google entdeckt Schwachstelle im Installer
Ende Juli kamen erste Hinweise auf, dass Epic die Android-Variante von Fortnite nicht über den Play Store von Google veröffentlichen wird. Dies wurde auch schnell vom Studio bestätigt. Als Grund wurde die zu hohe Provision seitens Google genannt. Jetzt wurde jedoch eine schwere Lücke im Fortnite-Installer gefunden.
In der aufkommenden Diskussion rund um den Verzicht auf Googles Vertriebsnetz sowie andere Anbieter wurde vor allem das Thema Sicherheit immer wieder benannt und Epic für sein Verhalten mehr als einmal deutlich kritisiert. Denn auch wenn der Suchmaschinenspezialist auf seinem eigenen Marktplatz immer wieder mal mit Sicherheitsproblemen zu kämpfen hat, dürfte das Wissen und die Erfahrung im Umgang mit Schädlingen der von Epic deutlich größer sein. So kann es schon fast als Ironie des Schicksals anmuten, dass die jetzige Sicherheitslücke gerade von einem Google-Mitarbeiter gefunden wurde.
Installer unsicher
Diese steckt laut den gegenwärtigen Informationen im Fortnite-Installer, also jener Applikation, welche die Nutzer bei Epic herunterladen und über die das eigentliche Spiel sowie alle später erscheinenden Patches und Updates installiert werden. So wird nach dem Download im Installer zwar die heruntergeladene APK-Datei mittels einer Checksumme auf eine Manipulation hin überprüft, vor der eigentlichen Installation wird diese Vorsichtsmaßnahme jedoch nicht wiederholt, sondern lediglich der Paketname verifiziert.
Passt ein Angreifer also den Punkt zwischen dem abgeschlossenen Download und dem Beginn der Installation ab, könnte eine andere Applikation mittels WRITE_EXTERNAL_STORAGE-Berechtigung eine alternative APK-Datei einschleusen und mit beliebigen Rechten installieren. Strittig ist noch, ob es für die Aktion eines physischen Zugriffes auf das jeweilige Mobilgerät bedarf. Dies sollte jedoch von Nutzern nicht zum Anlass genommen werden, sich zu sehr in Sicherheit zu wiegen, denn es ist nicht auszuschließen, dass das Aufspielen von manipulierten Applikationen später nicht auch ohne direkten Zugriff erfolgen kann.
Schwachstelle nach einer Woche öffentlich gemacht
Google hat die Lücke in der letzten Woche an Epic gemeldet, worauf das Studio die Schwachstelle bereits nach einem Tag beseitigt hatte. Dennoch bat Epic um eine Frist von 90 Tagen vor der Veröffentlichung der Sicherheitsproblems, welches Google aber mit dem Verweis auf seine eigenen Standards ablehnte. Somit wurde der Fehler nach Ablauf der Frist von einer Woche nun seitens des Finders öffentlich gemacht – was die Diskussion rund um das Thema Sicherheit von Android-Apps außerhalb des Play Store neu entfachen dürfte.