News Fortnite Android: Google entdeckt Schwachstelle im Installer

[CastorTransport]

Offensichtlich hast du keinerlei Ahnung und willst einzig ein bisschen Google bashen.

Edit: Glaube es macht aber auch wenig Sinn aus Entwicklersicht in einem Forum wie CB zu diskutieren. Hier wissen es alle besser und am Ende gehts einfach wieder nur darum Pro Epic oder Anti-Google zu kommentieren.

Lass ihn doch. Ich finde es erbärmlich, das Publisher den Store umgehen und Anfängerfehler bei der Sicherheit begehen. Und das in dem Moment, wo man als User allen Apps die Scheunentore öffnet. Wer so naiv ist, hat Bashing nicht anders verdient. Wenn es passiert, während es offiziell als Google-geprüfte App im Store steht, dann kann man AUCH Google bashen.

Sideload? Macht mal nur. Und dann auf Android/Google kloppen. Apple läßt sowas bewußt nicht zu und Google bietet es immerhin an, für Leute die eine gewisse Ahnung haben von dem, was sie da machen. Aber ein Kiddiespiel wo jetzt vlt. sich Millionen ihre Backdoors installieren, da muss man gegen schiessen

 

[Doom Squirrel]

Muhahaha, zwei Schwergewichte in ihren Branchen bekleckern sich hier wahrlich nicht mit Ruhm.

Eine herrlich lustige Komödie.

 

[I'm unknown]

@mischaef Klar stimmte ich dir hier zu, dachte die Ironie-Tags wären bei Einbindung von Osterhase und Weihnachtsmann nicht erforderlich .

 

[Ko3nich]

Würde mich nicht wundern wenn Google die APK Installationen außerhalb des PS komplett deaktiviert...

Das dürfte zumindest in der EU scheitern weil Android einen zu großen Marktanteil hat.

 

[Onkelpappe]

glaubt hier wirklich jemand Konzerne wie Intel hätten die Spectre und Meltdown Patches rausgebracht, wenn die Lücke nicht an die Öffentlichkeit gekommen wären? Mich würde es nicht mal wundern, wenn Intel die Lücken schon lange bekannt waren, und sie nur die Performanceeinbußen nicht riskieren wollten.

Und dass man sie veröffentlicht nachdem sie geschlossen sind dient dazu, dass andere Entwickler nicht die gleichen einbauen. Sonst müsste man jedem der sie einbaut nach Release auf die Finger hauen, was zu einer kurzen Zeit führt in der sie aktiv ist.

 

[<unknown>]

Ein Fehler wurde entdeckt und geschlossen. Weltneuheit.
Ich sehe das eher als weitere Werbung und damit positiv für Epic.

Es gab auch schon oft genug Spyware- oder Scam Apps im Google Store, von denen einige sogar über lange Zeit unbemerkt überlebten und über eine Millionen Downloads erreichten.
Wenn also Google selbst die Apps im Play Store nicht schützen kann, kann man auch direkt eigene Vertriebswege schaffen.
Ich würde mir Apps lieber direkt vom Hersteller, als vom Store herunterladen. Damit bräuchte man keine Google Spyware auf dem Smartphone.

 

[iSight2TheBlind]

@<unknown> Also nur Spyware direkt vom Hersteller?
Und deine Daten bei kostenpflichtigen Apps wieder wie vor 10 Jahren auf zig kleineren und größeren Downloadseiten für Windows Mobile Anwendungen streuen, damit dir wenigstens bei einem Anbieter mal die Kreditkartendaten gestohlen werden können?

 

[anyone23]

Lass ihn doch. Ich finde es erbärmlich, das Publisher den Store umgehen und Anfängerfehler bei der Sicherheit begehen.

Inwiefern umgehen sie denn den Play Store? Der Play Store ist nicht und war nie der einzige Weg Android-Apps zu verteilen. Ich würde eher sagen, dass sie den Play Store schlicht und einfach nicht nutzen.

Umgehen die Entwickler der Apps in F-Droid denn auch den Play Store?
Umgeht Google(!) unter Windows etwa den Windows Store indem sie Google Chrome per Download von ihrer Website anbieten?

Ich finde diese Konzentration auf den Google Play Store unter Android sehr bedenklich, denn Google hat schon oft gezeigt, dass sie dort nicht genehme Programme wie z. B. Adblocker oder Programme welche Android-Funktionen auf innovative Weise nutzen, dort rauswerfen. Gleichzeitig erhält man von Google nicht mal grundsätzliche Informationen zu Apps wie z. B. eine Info, ob eine App Werbung oder Tracking enthält. Der Play Store ist leider wirklich eine art Ramschladen für Apps und deshalb finde ich es wichtig, dass es auch weiterhin die Möglichkeit gibt, Apps außerhalb vom Play Store zu installieren. Und wenn Epic diese Möglichkeit nun etwas bekannter macht, ist das eine gute Sache.

Es ist schade, dass sich scheinbar immer mehr User geschlossene Geräte wünschen, die man nur noch so nutzen kann, wie es der Hersteller gerade möchte.

Eine Welt, in der man Apps nur noch von Google, Microsoft, Apple & Co beziehen kann, fände ich sehr schade. Ich verwende Windows 10 und Android, möchte aber weder einen Microsoft- oder Google-Account weil ich deren Nutzungsbedingungen für eine Zumutung halte. Hast du dir die Bedingungen mal durchgelesen? Kann ich dir nur empfehlen wenn du dich mal gruseln willst.

glaubt hier wirklich jemand Konzerne wie Intel hätten die Spectre und Meltdown Patches rausgebracht, wenn die Lücke nicht an die Öffentlichkeit gekommen wären?

Es ist hier wohl schwierig das richtige Timing für die Bekanntmachung der Sicherheitslücke zu finden. Einerseits kann diese Meldung vielleicht die User darüber informieren, dass ihre Version des Fortnite-Installers diesen Bug hat und diese lieber gelöscht werden sollte. Andererseits kann ich mir vorstellen, dass es vielleicht besser gewesen wäre, wenn man es erst in 2-3 Wochen veröffentlicht hätte nachdem diese erste Version des Installers eventuell kaum noch auf den Geräten anzutreffen ist und damit die Gefahr in der Praxis noch weiter verringert hätte.

 

[j-d-s]

Ich nutze sowieso für 80% meiner Apps nicht den Playstore, sondern apkpure.com .

 

[Marcel55]

Ich nutze sowieso für 80% meiner Apps nicht den Playstore, sondern apkpure.com .

Und automatische Updates?

 

[Justuz]

Das Verhalten ist aber schon heftig mit den 90 tagen, wenn mir mal jemand auf der straße unters auto kommt, frage ich die zeugen auch ob die 90 tage warten könnten bis sie davon jemanden erzählen. xD

 

[j-d-s]

Und automatische Updates?

Es gibt auch ne Apkpure-App, die das automatisch macht, wenn man das will.

Wobei ich persönlich Apps sowieso nicht automatisch update (außer sowas wie Browser), weil da doch teilweise eher Verschlimmbesserungen geupdatet werden als vernünftige Updates.

 

[cbtestarossa]

Man könnte das OS sicher so absichern dass zumindest einfache Apps nur ihren Pfad und Dateien sehen.
Und ein Spiel oder ähnliches gehört sicher nicht in die Gruppe der SystemTools mit Vollzugriff auf alles.

Also welche App soll dann bitteschön so etwas angreifen können.
Das sollte einem OS vorbehalten sein.

Aber ja, die Grenze zur Verdongelung ist dann natürlich schon fast erreicht.

 

[OTM-Offline]

Stimmt, zu Lücken in Google Produkten wurde noch nie recherchiert, da muss erst Epic ein Team anheuern....

Abgesehen davon hat Google richtig gehandelt. Zum Einen als Werbung für den Store (ich will nicht, dass es wie bei Apple wird, und man keine Möglichkeit zum normalen Sideloading hat), zum Anderen auch im normalen Eigeninteresse. Gäbe es eine leicht ausnutzbare Lücke, würde das ganze eher als Google ("unsicheres" OS) als auf Epic zurückfallen.

Und generell sollte auf jede solcher Sicherheitslücken aufmerksam gemacht werden, egal bei welchem Hersteller. Damit eben jene unter Zugzwang geraten.

Ich glaube du hast irgendwie nicht ganz verstanden was ich meinte:

Google hat die Sicherheitslücke Epic gemeldet, diese haben die Sicherheitslücke bereits nach einem Tag geschlossen und Google hat eine Woche danach die Sicherheitslücke trotzdem veröffentlicht.
Das bedeutet also, dass Google auch Sicherheitslücken veröffentlicht, die nicht mehr existieren.
Bis hierhin komme ich noch mit, weil der Anwender natürlich weiterhin den alten Installer irgendwo auf der Platte haben und diesen noch einmal nutzen könnte; das wäre in einer Desktop-Umgebung und einer größeren ProApp, die man nicht eben mal runterlädt, nicht einmal ungewöhnlich.
Bei einem Spiel für Android ist das hingegen zu 99% ziemlicher Unsinn.
Und da es sich dann auch noch um einen Man-in-the-Middle-Angriff handeln müsste, der in diesem Szenario ebenfalls extremst unwahrscheinlich ist, erscheint die ganze Sache etwas seltsam.

Mir geht es nicht darum, dass Google Sicherheitslücken veröffentlicht, denn das ist absolut gut und richtig.
Warum aber alle Arten von Sicherheitslücken gleich behandelt und kommuniziert werden, ergibt für mich rein logisch und auch im Sinne des Anwenders keinen Sinn.
Von daher ist die Frage, ob Google in diesem Fall, abseits möglicher rechtlicher
Verpflichtungen sowie schlechter PR durch mögliche Konsequenzen dieser Sicherheitslücke, nicht aus reinem Eigeninteresse gehandelt hat. Man könnte sogar noch einen Schritt weiter gehen und Ausnutzung von Marktmacht in den Raum werfen.
Denn es ist schon sehr "zufällig" und eine sonderbare "Ironie des Schicksals", dass gerade ein Google-Mitarbeiter eine Sicherheitslücke bei einem sehr erfolgreichen Spiel findet, dessen Entwickler öffentlich kommuniziert hat, dieses aufgrund von zu hohen Gebühren des Google Play Stores dort nicht einzustellen.
Verstärkt werden könnten die Zweifel an der Zufallsgeschichte dadurch, dass einen bei der Beobachtung des Ablaufs irgendwie das Gefühl beschleicht, dass Google diese "Sicherheitslücke" erstens unabhängig jeder Relevanz und Aktualität in jedem Fall veröffentlichen und zweitens gerne aus einer Mücke einen Elefanten machen wollte.

Ist das in der Gesamtbetrachtung wirklich ein so abwegiger Gedanke? Ich denke nicht. Unabhängig davon, ob es nun stimmt oder nicht.

 

[chithanh]

Um die APK zu überschreiben, muss schon eine "böse" App installiert sein. Wieso sollte diese App noch eine "böse" App installieren?

Die "böse" App braucht nur die Berechtigung, auf den Gerätespeicher zu schreiben.
Nachdem sie dem Fortnite-Installer den Schadcode untergeschoben hat, sind ihre Rechte stark ausgeweitet.

Man könnte das OS sicher so absichern dass zumindest einfache Apps nur ihren Pfad und Dateien sehen.
Und ein Spiel oder ähnliches gehört sicher nicht in die Gruppe der SystemTools mit Vollzugriff auf alles.

Jede App kann privaten Speicher nutzen. Der wird vom Android-OS gegen Zugriffe anderer Apps abgeschirmt. Dies wurde im Google-Bericht auch empfohlen. Die Fortnite-Entwickler haben sich jedoch entschieden, dies nicht zu tun, sondern den Download im öffentlichen Gerätespeicher abzulegen.

Ich glaube du hast irgendwie nicht ganz verstanden was ich meinte:

Ich denke, der Vorposter hat es ganz genau verstanden.

Google hat die Sicherheitslücke Epic gemeldet, diese haben die Sicherheitslücke bereits nach einem Tag geschlossen und Google hat eine Woche danach die Sicherheitslücke trotzdem veröffentlicht.
Das bedeutet also, dass Google auch Sicherheitslücken veröffentlicht, die nicht mehr existieren.

Genau. Die Sicherheitslücke wird nach den Google-Richtlinien veröffentlicht, sobald 90 Tage abgelaufen sind oder ein Update bereitsteht, welches die Lücke behebt, je nachdem was zuerst eintritt.

Eine Ausnahme gibt es nur, wenn das Update bereits fertig ist, aber aus wichtigen Gründen nicht sofort an die Benutzer verteilt werden kann.

Bis hierhin komme ich noch mit, weil der Anwender natürlich weiterhin den alten Installer irgendwo auf der Platte haben und diesen noch einmal nutzen könnte; das wäre in einer Desktop-Umgebung und einer größeren ProApp, die man nicht eben mal runterlädt, nicht einmal ungewöhnlich.
Bei einem Spiel für Android ist das hingegen zu 99% ziemlicher Unsinn.
Und da es sich dann auch noch um einen Man-in-the-Middle-Angriff handeln müsste, der in diesem Szenario ebenfalls extremst unwahrscheinlich ist, erscheint die ganze Sache etwas seltsam.

Alles falsch.
Es könnten vorher schon andere, bösartige Akteure dieses Problem gefunden (ziemlich leicht) und ausgenutzt haben. Auf wessen Gerät nicht vertrauenswürdige Apps die Gerätespeicher-Rechte haben laufen, der sollte jetzt wenigstens Fortnite deinstallieren und neu installieren, da möglicherweise kompromittiert.

Mir geht es nicht darum, dass Google Sicherheitslücken veröffentlicht, denn das ist absolut gut und richtig.
Warum aber alle Arten von Sicherheitslücken gleich behandelt und kommuniziert werden, ergibt für mich rein logisch und auch im Sinne des Anwenders keinen Sinn.

Das nennt sich Responsible Disclosure und ist eine generelle Strategie zum Umgang mit Sicherheitslücken. "Disclosure" ist zwingend Teil davon.

Von daher ist die Frage, ob Google in diesem Fall, abseits möglicher rechtlicher
Verpflichtungen sowie schlechter PR durch mögliche Konsequenzen dieser Sicherheitslücke, nicht aus reinem Eigeninteresse gehandelt hat. Man könnte sogar noch einen Schritt weiter gehen und Ausnutzung von Marktmacht in den Raum werfen.

Ausnutzung von Marktmacht? Erkläre das mal genauer. Hätte irgendeine andere Firma das veröffentlicht, wäre es genauso ein PR-Desaster für Epic gewesen.

Denn es ist schon sehr "zufällig" und eine sonderbare "Ironie des Schicksals", dass gerade ein Google-Mitarbeiter eine Sicherheitslücke bei einem sehr erfolgreichen Spiel findet, dessen Entwickler öffentlich kommuniziert hat, dieses aufgrund von zu hohen Gebühren des Google Play Stores dort nicht einzustellen.

Na und? Google-Mitarbeiter suchen und finden in allen möglichen Produkten Sicherheitslücken. Windows, Linux, Intel-CPUs (Spectre/Meltdown), Browser, Antiviren-Produkte (besonders übel), usw.

Ich sehe das als Dienstleistung für die Öffentlichkeit. Jede gefundene und geschlossene Lücke macht das System für die Anwender sicherer, und gibt den Herstellern die Gelegenheit, ihre Sicherheitsstandards bei künftigen Produkten höher zu halten.

Und die Öffentlichkeit möglichst zeitnah über gefundene Lücken zu informieren ist sehr wichtig. Siehe den Link zu Bruce Schneier den ich weiter oben gepostet habe.

Verstärkt werden könnten die Zweifel an der Zufallsgeschichte dadurch, dass einen bei der Beobachtung des Ablaufs irgendwie das Gefühl beschleicht, dass Google diese "Sicherheitslücke" erstens unabhängig jeder Relevanz und Aktualität in jedem Fall veröffentlichen und zweitens gerne aus einer Mücke einen Elefanten machen wollte.

Es wurden die Standardregeln für den Umgang mit und Veröffentlichung von Sicherheitslücken angewendet. Ich sehe nirgends eine Sonderbehandlung von Epic/Fortnite.

 

[fullnewb]

Imho durchaus auch ein Problem von Android. Die Speicherverwaltung ist wirklich mies gelöst. Unverständlich allerdings, dass EPIC solch einen banalen Fehler gemacht hat.

 

[corvus]

Ich glaube du hast irgendwie nicht ganz verstanden was ich meinte:

Google hat die Sicherheitslücke Epic gemeldet, diese haben die Sicherheitslücke bereits nach einem Tag geschlossen und Google hat eine Woche danach die Sicherheitslücke trotzdem veröffentlicht.
Das bedeutet also, dass Google auch Sicherheitslücken veröffentlicht, die nicht mehr existieren.

Äh ja, genau so läuft das üblicherweise.

 

[Teiby]

Die "böse" App braucht nur die Berechtigung, auf den Gerätespeicher zu schreiben.
Nachdem sie dem Fortnite-Installer den Schadcode untergeschoben hat, sind ihre Rechte stark ausgeweitet.

Wozu braucht Fortnite mehr Berechtigung als Gerätespeicher schreiben? Internetzugang hat jede App und alles andere wie Kontakte, SMS, Anrufe, GPS, Kamera usw. benötigt Fortnite nicht. Vielleicht Mikrofon, aber auch nur, wenn man es aktiv nutzt.

 

[OTM-Offline]

@chithanh und corvus:
Also ich verstehe durchaus, dass man die ganze Sache aus rein professioneller Sicht sehen und mit Regularien und Standards begründen kann.
Wenn die Welt immer so gleich „fair“ und objektiv wäre, dann hätten wir wohl einige Probleme weniger.

Trotzdem gibt es immer zwei Seiten, die man betrachten sollte. Das führt einen zwar nicht immer direkt zur korrekten Lösung, sorgt aber dafür einen Sachverhalt mit größtmöglicher Objektivität zu analysieren.

Hier mal eine andere Betrachtungsweise:
https://techcrunch.com/2018/08/24/fortnites-android-installer-shipped-with-an-epic-security-flaw/

Die Frage, die sich daraus stellt ist folgende:
Bringt Google die Anwender sogar nicht eher in Gefahr, wenn sie eine Sicherheitslücke veröffentlicht, bevor diese auf einem Großteil der Endgeräte gefixt ist?
Dabei sollte man wie gesagt nicht vergessen, das Epic des Fix einen Tag später schon hatte.

Ich finde das sind durchaus berechtigte Fragen, weil Googles Regularien eben nicht in Stein gemeißelt sind. Auch Google macht Fehler und muss seine Regularien immer wieder reflektieren und überdenken, wenn Situationen auftreten, die im Sinne des Anwenders eben nicht einfach mit einem Blick ins „Google-Firmen-Handbuch“ zufriedenstellend beantwortet werden können.

Es geht mir nicht darum für Epic oder Google Partei zu ergreifen.
Am Ende interessiert mich nur, ob die angewandte Lösung die beste für den Anwender ist.

 

[DeusoftheWired]

@chithanhBringt Google die Anwender sogar nicht eher in Gefahr, wenn sie eine Sicherheitslücke veröffentlicht, bevor diese auf einem Großteil der Endgeräte gefixt ist?

Direkt nach Veröffentlichung der Lücke: ja.
Auf lange Sicht: nein.

Ohne Veröffentlichungen von Sicherheitslücken hätten wir weit weniger Aktualisierungen durch Hersteller, weil die für sie natürlich immer Kosten bedeuten.

Security by obscurity ist keine Sicherheit. Sicherheit entsteht durch das Anwenden von Praktiken und Routinen, die sich als sicher erwiesen haben, und nicht dadurch, daß man verschleiert, welche Praktik man angewandt hat.