Springe zum Inhalt

Kritischer Fehler in Fortnite Android Apps lässt Hacker Malware installieren

Sicherheitsforscher von Google haben einen extrem ernstzunehmenden Sicherheitsfehler im ersten Fortnite Installationsprogramm für Android öffentlich gemacht, welcher anderen installierten Apps erlauben könnte, den Installationsprozess zu manipulieren und Malware herunterzuladen, anstatt Fortnite APK.

Früher in diesem Monat kündigte Epic Games an, dass ihr äußerst beliebtes Spiel „Fortnite for Android“ nicht im Google Play Store, sondern über die eigene App verfügbar sein würde.

Viele Wissenschaftler warnten das Unternehmen, dass dieser Ansatz Android Nutzer eventuell einem höheren Risiko aussetzen würde, da es nicht empfohlen wird APKs außerhalb des Play Stores herunterzuladen, weil Nutzer dabei einige Sicherheitsfunktionen deaktivieren müssen.

Und es scheint, als seien diese Ängste und Sorgen berechtigt gewesen.

Google Entwickler entdeckten einen gefährlichen Sicherheitsmangel sobald das Fortnite Spiel auf Android eingeführt wurde.

Fortnite Android Installationsprogramm anfällig für Man-In-The-Disk Attacke

In einem Video zum Machbarkeitsbeweis, welches von Google veröffentlicht wurde, zeigen Wissenschaftler, dass ihre Attacken den neu vorgestellten „Man-In-The-Disk“ (MitD) Vektor ausnutzen (detailliert erklärt in unserem letzten Artikel).

Kurz gesagt erlauben Man-In-The-Disk Attacken schadhaften Apps, die Daten anderer Apps im ungeschützten externen Speicher zu manipulieren, was zur Installation von unerwünschten Apps führt, anstelle des eigentlichen Updates.

Für die, die es nicht wissen: Um Fortnite auf Ihrem Android Gerät zu installieren, müssen Sie zunächst eine „Helfer“ App installieren, die Fortnite in den Speicher des Telefons herunterlädt und es auf ihrem Smartphone installiert.

Google Entwickler fanden heraus, dass jede App auf Ihrem Smartphone mit der Erlaubnis „WRITE_EXTERNAL_STORAGE“, die Installation abfangen und mit einer anderen schadhaften APK ersetzen kann, einschließlich einer mit komplettem Zugriff zu SMS, Anrufprotokollen, GPS oder sogar Kamera – alles ohne Ihr Wissen.

„Auf Samsung Geräten, führt das Fortnite Installationsprogramm die APK Installation unbemerkt über eine private Galaxy Apps API durch. Diese API prüft, dass die installierte APK den Namen com.epicgames.fortnite hat. Folglich kann die falsche APK mit dem richtigen Namen unbemerkt installiert werden“, sagten Google Wissenschaftler.

„Falls die Fake-APK eine targetSdkVersion von 22 oder niedriger hat, bekommt sie alle Erlaubnisse die zum Installationszeitpunkt angefragt werden. Diese Schwachstelle erlaubt einer App auf dem Gerät, das Fortnite Installationsprogramm zu hacken, um stattdessen eine Fake-APK mit jeglichen Erlaubnissen zu installieren, welche normalerweise Nutzerauskunft erfordern würde.“

Patch Update für Fortnite bei Android Installationen

Seit die erste Version des Fortnite Installationsprogramms exklusiv auf Samsung Geräten herausgebracht wurde, hat die Schwachstelle nur das Fortnite Installationsprogramm betroffen, welches über den Galaxy App Store verfügbar war und nicht die Version für Nicht-Samsung Geräte.

Google entdeckte die Schwachstelle am 15. August und informierte Epic Games unverzüglich darüber. Diese bestätigten die Existenz besagter Schwachstelle und erstellten innerhalb von 48 Stunden einen Patch, zusammen mit der Veröffentlichung der Version 2.1.0 des Fortnite Installationsprogramms.

Während sie Google zwar dafür dankten, die Bug Details geteilt zu haben, kritisierte Epic Games dennoch die Wissenschaftler, dafür, die Schwachstelle innerhalb von 7 Tagen zu veröffentlichen anstatt 90 Tage zu warten.

„Wir haben Google gebeten mit der Veröffentlichung zu warten, bis das Update besser installiert ist. Sie weigerten sich und schufen damit ein unnötiges Risiko für Android Nutzer, nur um auf billige Weise PR Punkte zu machen“, twitterte Sweeney.

„Aber warum diese schnelle, öffentliche Freigabe von technischen Details? Das gibt Hackern nur die Chance ungepatchte Nutzer ins Visier zu nehmen.“

Für den Teil der Nutzer werden Fortnite Spieler dringend dazu angehalten ihr Installationsprogramm auf die neuste Version upzudaten. Wenn Sie das Update bereits installiert haben, aber immer noch besorgt sind wegen der Wirkung, deinstallieren Sie Fortnite für Android und installieren Sie es erneut und fangen einfach von vorne an.

Da Epic Games keine weiteren Informationen zu diesem Bug bekanntgemacht hat, ist es unklar, ob dieser Fehler aktiv ausgenutzt wurde und wie viele Leute die fehlerhafte Android APK heruntergeladen haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.