Talaan ng mga Nilalaman:
- Ano ang kahinaan at bakit napakasama nito?
- Paano mo matiyak na ligtas ka
- Ang natutunan natin sa prosesong ito
Inihayag lamang ng Google na ito ay natuklasan ang isang napaka-malubhang kahinaan sa unang Fortnite installer ng Epic para sa Android na pinapayagan ang anumang app sa iyong telepono na mag-download at mag-install ng anuman sa background, kabilang ang mga app na may buong pahintulot na ibinigay, nang walang kaalaman ng gumagamit. Una nang isiniwalat ng security team ng Google ang kahinaan nang pribado sa Mga Larong Epiko noong Agosto 15, at mula nang mailabas ang impormasyong publiko nang pagsunod sa kumpirmasyon mula sa Epic na ang kahinaan ay na-patch.
Sa madaling salita, ito mismo ang uri ng pagsasamantala sa Android Central, at iba pa, na natatakot na magaganap sa ganitong uri ng sistema ng pag-install. Narito ang kailangan mong malaman tungkol sa kahinaan, at kung paano matiyak na ligtas ka sa pasulong.
Ano ang kahinaan at bakit napakasama nito?
Kapag pupunta ka upang i-download ang "Fortnite" hindi mo talaga nai-download ang buong laro, i-download mo muna ang Fortnite Installer. Ang Fortnite Installer ay isang simpleng app na na-download mo at mai-install, na pagkatapos ay i-download ang buong laro ng Fortnite nang direkta mula sa Epic.
Ang Fortnite Installer ay madaling mapagsamantala upang hijack ang kahilingan upang i-download ang buong laro.
Ang problema, tulad ng natuklasan ng koponan ng seguridad ng Google, na ang Fortnite Installer ay napakadaling mapagsamantala upang mai-hijack ang kahilingan upang i-download ang Fortnite mula sa Epic at sa halip ay i-download ang anumang bagay kapag nag-tap ka ng pindutan upang i-download ang laro. Ito ang kilala bilang isang "man-in-the-disk" na pag-atake: ang isang app sa iyong telepono ay naghahanap ng mga kahilingan upang mag-download ng isang bagay mula sa internet at i-intercepts ang kahilingan upang mag-download ng ibang bagay sa halip, hindi maipaliwanag sa orihinal na pag-download ng app. Posible ito dahil ang Fortnite Installer ay hindi wastong dinisenyo - ang Fortnite Installer ay walang ideya na pinadali lamang nito ang pag-download ng malware, at pag-tap sa "paglulunsad" kahit na inilulunsad ang malware.
Upang mapagsamantala, kakailanganin mong magkaroon ng isang app na naka-install sa iyong telepono na naghahanap para sa isang kahinaan - ngunit binigyan ng katanyagan ng Fortnite at ang pag-asa ng pagpapalaya, malamang na mayroong mga hindi ligaw na apps sa labas na ginagawa lang yan. Maraming beses ang mga nakakahamak na apps na naka-install sa mga telepono ay walang isang pagsamantalahan sa kanila, mayroon silang isang buong kabayaran na puno ng maraming kilalang mga kahinaan upang masubukan, at ang ganitong uri ng pag-atake ay maaaring isa sa kanila.
Sa isang tap, maaari kang mag-download ng isang nakakahamak na app na may buong pahintulot at pag-access sa lahat ng data sa iyong telepono.
Narito kung saan napakasama ng mga bagay. Dahil sa paraan na gumagana ang modelo ng pahintulot ng Android, hindi mo na kailangang tanggapin ang pag-install ng isang app mula sa "hindi kilalang mga mapagkukunan" na lampas sa oras na iyong tinanggap ang pag-install para sa Fortnite. Dahil sa paraan ng pagsasamantala na ito, walang indikasyon sa panahon ng proseso ng pag-install na nag-download ka ng anumang bagay maliban sa Fortnite (at walang kaalaman ang Fortnite Installer, alinman), habang nasa background ang isang ganap na naiibang app ay na-install. Nangyayari ang lahat sa loob ng inaasahang daloy ng pag-install ng app mula sa Fortnite Installer - tinatanggap mo ang pag-install, dahil sa palagay mo ay nai-install mo ang laro. Sa mga teleponong Samsung na nakakakuha ng app mula sa Galaxy Apps, lalo na, ang mga bagay ay bahagyang mas masahol: hindi kahit na isang unang prompt upang payagan mula sa "hindi kilalang mga mapagkukunan" dahil ang Galaxy Apps ay isang kilalang mapagkukunan. Pagpunta sa karagdagang, ang app na na-install nang tahimik ay maaaring magpahayag at bibigyan ng bawat pahintulot na posible nang wala ang iyong karagdagang pahintulot. Hindi mahalaga kung mayroon kang isang telepono gamit ang Android Lollipop o Android Pie, o kung pinatay mo ang "hindi kilalang mga mapagkukunan" pagkatapos i-install ang Fortnite Installer - sa sandaling na-install mo ito, maaari mong mai-atake.
Ang pahina ng Isyu ng Tracker ng Google para sa pagsasamantala ay may isang mabilis na pag-record ng screen na nagpapakita kung gaano kadali ang mai-download ng isang gumagamit at i-install ang Fortnite Installer, sa kasong ito mula sa Galaxy Apps Store, at isipin na nagda-download sila ng Fortnite habang sa halip ay nai-download at mai-install ang isang nakakahamak na app, na may buong pahintulot - camera, lokasyon, mikropono, SMS, imbakan at telepono - na tinatawag na "Fortnite." Tumatagal ng ilang segundo at walang pakikipag-ugnayan ng gumagamit.
Oo, ito ay isang medyo masama.
Paano mo matiyak na ligtas ka
Sa kabutihang palad, mabilis na kumilos ang Epic upang ayusin ang pagsasamantala. Ayon sa Epic, ang pagsasamantala ay naayos na mas mababa sa 48 oras pagkatapos ma-notify at na-deploy sa bawat Fortnite Installer na na-install na dati - kailangan lang i-update ng mga gumagamit ang Installer, na kung saan ay isang i-tap na iugnay. Ang Fortnite Installer na nagdala ng pag-aayos ay bersyon 2.1.0, na maaari mong suriin para sa pamamagitan ng paglulunsad ng Fortnite Installer at pagpunta sa mga setting nito. Kung ikaw ay para sa anumang kadahilanan ay mag-download ng isang mas maagang bersyon ng Fortnite Installer, sasabihin ka nito na mag-install ng 2.1.0 (o mas bago) bago i-install ang Fortnite.
Kung mayroon kang bersyon 2.1.0 o mas bago, ligtas ka mula sa partikular na kahinaan.
Ang Epic Games ay hindi naglabas ng impormasyon tungkol sa kahinaan na ito sa labas ng pagkumpirma na naayos na ito sa bersyon 2.1.0 ng installer, kaya hindi namin alam kung aktibo itong sinasamantala sa ligaw. Kung napapanahon ang iyong Fortnite Installer, ngunit nag-aalala ka pa rin tungkol sa kung naapektuhan ka ng kahinaan na ito, maaari mong i-uninstall ang Fortnite at ang Fortnite Installer, pagkatapos ay muling dumaan sa proseso ng pag-install upang matiyak na ang iyong pag-install ng Fortnite ay lehitimo. Maaari mo ring (at dapat) magpatakbo ng isang pag-scan gamit ang Google Play Protect upang sana matukoy ang anumang malware kung naka-install ito.
Ang isang tagapagsalita ng Google ay may sumusunod na puna sa sitwasyon:
Ang seguridad ng gumagamit ay ang aming pangunahing prayoridad, at bilang bahagi ng aming proactive na monitoring para sa malware ay nakilala namin ang kahinaan sa installer ng Fortnite. Agad naming inalam ang Epic Games at naayos nila ang isyu.
Ang Epic Games ay nagbigay ng sumusunod na puna mula sa CEO Tim Sweeney:
Talagang pinapahalagahan ng mahabang tula ang pagsisikap ng Google na magsagawa ng isang malalim na pag-audit ng seguridad ng Fortnite kaagad na kasunod ng aming paglaya sa Android, at ibahagi ang mga resulta sa Epic upang mabilis kaming mag-isyu ng isang pag-update upang ayusin ang kapintasan na kanilang natuklasan.
Gayunpaman, walang pananagutan sa Google na ibunyag sa publiko ang mga teknikal na detalye ng kapintasan nang mabilis, habang maraming mga pag-install ay hindi pa na-update at mahina pa rin.
Ang isang engineer ng Epic security, sa aking pag-urong, ay humiling sa Google na maantala ang publiko sa pagsisiwalat sa pangkaraniwang 90 araw upang payagan ang oras para sa pag-update na mas malawak na mai-install. Tumanggi ang Google. Maaari mong basahin ang lahat sa
Ang mga pagsisikap sa pagtatasa ng seguridad ng Google ay pinahahalagahan at nakikinabang sa platform ng Android, gayunpaman ang isang kumpanya na kasing lakas ng Google ay dapat magsagawa ng mas responsableng tiyempo ng pagsisiwalat kaysa ito, at hindi mapanganib ang mga gumagamit sa kurso ng mga pagsusumikap sa kontra-PR laban sa pamamahagi ng Epic ng Fortnite sa labas ng Google Play.
Maaaring tumalon ang Google ng pating sa isip ni Epic, ngunit ang kursong ito ng aksyon ay malinaw na sinunod ang patakaran ng Google para sa pagsisiwalat ng mga kahinaan sa 0day.
Ang natutunan natin sa prosesong ito
Uulitin ko ang isang bagay na sinabi sa Android Central sa loob ng maraming taon na ngayon: hindi kapani-paniwalang mahalaga na mag-install lamang ng mga app mula sa mga kumpanya at mga developer na pinagkakatiwalaan mo. Ang pagsasamantala na ito, para sa masamang bilang nito, ay kinakailangan pa rin na pareho mong naka-install ang Fortnite Installer at isa pang nakakahamak na app na gagawa ng kahilingan upang mag-download ng higit pang nakasisira na malware. Sa napakalaking katanyagan ng Fortnite mayroong isang malaking posibilidad na ang mga bilog na iyon ay magkakapatong, ngunit hindi ito dapat mangyari sa iyo.
Ito mismo ang uri ng kahinaan na kami ay nag-aalala, at nangyari ito sa Araw 1.
Ang isa sa aming mga alalahanin mula sa umpisa sa pagpapasyang mag-install ng Fortnite sa labas ng Play Store ay na ang katanyagan ng laro ay lalampas ang pangkalahatang kagalingan ng mga tao na manatili sa Play Store para sa kanilang mga app. Ito ang uri ng kahinaan na malamang na mahuli sa proseso ng pagsusuri ng pagpunta sa Play Store, at maiayos ito bago makuha ang anumang malaking bilang ng mga tao. At sa Proteksyon ng Google Play sa iyong telepono, maaaring mapatay ng Google ang layo at i-uninstall ang app kung ito ay ginawa nitong ligaw.
Para sa bahagi nito, pinamamahalaan pa rin ng Google na mahuli ang kahinaan na ito kahit na ang app ay hindi ipinamamahagi sa pamamagitan ng Play Store. Alam na namin na ang Google Play Protect ay nagawang i-scan ang mga app sa iyong telepono kahit na naka-install sila nang direkta mula sa web o ibang app store, at sa kasong ito ang proseso ay na-back up ng isang talento ng security team sa Google na natagpuan ang kahinaan at iniulat ito sa developer. Ang prosesong ito ay karaniwang nangyayari sa background nang walang labis na pakikipagsapalaran, ngunit kapag pinag-uusapan natin ang tungkol sa isang app tulad ng Fortnite na may malamang na sampu-milyong mga pag-install, ipinapakita lamang kung gaano sineseryoso ng Google ang seguridad sa Android.
Update: Ang artikulong ito ay na-update na may nilinaw na impormasyon tungkol sa pagsasamantala, pati na rin ang isang puna mula sa Epic Games CEO Tim Sweeney.
