Google encuentra un error de seguridad en Fortnite Android Installer; Epic Games soluciona el problema

Google encontró una vulnerabilidad peligrosa en el instalador Fortnite
Los ingenieros de Epic Games implementaron rápidamente una solución
El CEO de EPIC agradeció a Google, pero lo llamó “irresponsable”
Google descubrió una falla de seguridad en el instalador de Fortnite para Android que Epic Games lanzó para eludir la tienda de Google Play. A principios de este mes, Epic Games y Google confirmaron que el popular juego omitirá Google Play y, en cambio, estará disponible a través de un cliente conocido como Fortnite Installer. Sin embargo, se descubrió que el instalador contiene una falla de seguridad peligrosa que permitiría a los piratas informáticos instalar aplicaciones maliciosas en los teléfonos inteligentes. Google no perdió el tiempo señalando este error, pero Epic Games también respondió rápidamente al problema resolviendo el error.

Para recordar, Fortnite se puso a disposición en los teléfonos Samsung el 9 de agosto y la disponibilidad general se anunció el 11 de agosto. El 15 de agosto, un investigador de seguridad de Google descubrió e informó un error. En su rastreador de problemas, Google explicó que el instalador de Fortnite Android podría permitir a los atacantes instalar lo que quieran. Para jugar Fortnite, los jugadores primero deben obtener el instalador de Fortnite, que luego procede a descargar la aplicación completa. El problema, sin embargo, fue que Fortnite Installer resultó ser fácilmente explotable para secuestrar la solicitud de descargar Fortnite de Epic y en su lugar descargar aplicaciones maliciosas cuando los usuarios presionan el botón para descargar el juego. Este tipo de ataque se conoce como el ataque ‘hombre en el disco’.

Para detallar más la vulnerabilidad, Google también proporcionó un video con prueba de concepto del ataque en un teléfono inteligente Samsung. El video muestra a un usuario para instalar Fortnite Installer de Galaxy Apps y luego descargar lo que se cree que es Fortnite. Después de completar el proceso, verá que el usuario está tocando “Iniciar”, solo para encontrar una aplicación abierta aleatoria.

Una vez completado, un usuario presiona “Iniciar” mientras está en el instalador oficial de Fortnite (4ta captura de pantalla), solo para abrir la nefasta aplicación recién descargada. Esto es posible gracias a la aplicación Installer de Epic que solo verifica que el APK descargado tenga un nombre de paquete de com.epicgames.fortnite. Esto, según Google, sucede porque el instalador solo verificó que el nombre de la APK se llame ‘com.epicgames.fortnite’ antes de la instalación. Cabe señalar que la aplicación descargada también incluyó muchos permisos adicionales.

Sin embargo, los desarrolladores de Epic Games lanzaron rápidamente sobre el tema para trabajar en una solución y pronto implementaron una. La versión 2.1 del Fortnite Installer que solucionó el problema se lanzó el 17 de agosto. Epic InfoSec le pidió a Google que esperara 90 días antes de publicar la información. Sin embargo, Google publicó la falla el 24 de agosto, diciendo: “… ahora que la versión parcheada de Fortnite Installer ha estado disponible durante 7 días, procederemos a ‘deshacernos’ de este problema de acuerdo con las prácticas de divulgación estándar. Google “.

Como resultado, el CEO de Epic Todd Sweeney emitió un comunicado a Android Central. Agradeciendo a Google por la “profunda auditoría de seguridad de Fortnite inmediatamente después de nuestro lanzamiento en Android”, también hizo un llamamiento al gigante de las búsquedas para que sea “irresponsable” al divulgar públicamente los detalles técnicos tan rápidamente, a pesar de que “muchas instalaciones aún no están actualizadas y todavía eran vulnerables “. Mientras tanto, Google sostuvo que su decisión de eliminar el problema estaba en línea con las prácticas de divulgación estándar de Google.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *