Fortnite для Android: разработчики Google обнаружили серьезную опасность
В начале августа популярный шутер Fortnite все же добрался до Android-устройств, однако компания Epic Games решила не делиться прибылью с Google, а потому выпустила игру в обход Google Play. Для доступа к ней пользователи должны были загрузить специальное приложение-инсталлятор, которое, как выяснилось, включало критическую уязвимость.
Об этом сообщает Neowin.
Для обхода Google Play авторам Fortnite пришлось создать собственное приложение-загрузчик, который выполняет скачивание и установку игры. Подобное решение сразу же вызвало у пользователей опасения, но в Epic Games заверили в надежности такого подхода.
Впрочем, разработчик Google отметил, что любое приложение с разрешением WRITE_EXTERNAL_STORAGE способно подменить APK сразу после завершения загрузки и проверки отпечатка пальца, что несложно реализовать с помощью FileObserver. Следовательно, инсталлятор Fortnite продолжит установку поддельного APK-файла вместо игры.
Кроме того, если в поддельном APK-файле указано значение targetSdkVersion 22 или ниже, то ему автоматически будут предоставлены все запросы разрешения во время установки, как если бы это была игра Fortnite. А значит злоумышленники могли получить доступ как минимум ко всем данным на устройстве.
К счастью, уязвимость присутствовала только в первой версии Fortnite Installer, после чего Epic Games с помощью Google быстро выпустила обновление, исправив недостаток. Если же у вас установлена самая первая версия Fortnite Installer, то стоит ее удалить или экстренно обновить.
Об этом сообщает Neowin.
Для обхода Google Play авторам Fortnite пришлось создать собственное приложение-загрузчик, который выполняет скачивание и установку игры. Подобное решение сразу же вызвало у пользователей опасения, но в Epic Games заверили в надежности такого подхода.
Впрочем, разработчик Google отметил, что любое приложение с разрешением WRITE_EXTERNAL_STORAGE способно подменить APK сразу после завершения загрузки и проверки отпечатка пальца, что несложно реализовать с помощью FileObserver. Следовательно, инсталлятор Fortnite продолжит установку поддельного APK-файла вместо игры.
На устройствах Samsung Fortnite Installer автоматически устанавливает APK через собственные API магазина Galaxy Apps. Эти API проверяют, что установленный APK имеет имя пакета com.epicgames.fortnite. Следовательно, таким образом может быть установлен и поддельный APK с соответствующим названием, – рассказал разработчик Google.
Кроме того, если в поддельном APK-файле указано значение targetSdkVersion 22 или ниже, то ему автоматически будут предоставлены все запросы разрешения во время установки, как если бы это была игра Fortnite. А значит злоумышленники могли получить доступ как минимум ко всем данным на устройстве.
К счастью, уязвимость присутствовала только в первой версии Fortnite Installer, после чего Epic Games с помощью Google быстро выпустила обновление, исправив недостаток. Если же у вас установлена самая первая версия Fortnite Installer, то стоит ее удалить или экстренно обновить.
Комментарии 0