Зміст:
- Що таке вразливість і чому це так погано?
- Як можна переконатися в безпеці
- Про що ми дізналися з цього процесу
Компанія Google щойно оприлюднила, що виявила надзвичайно серйозну вразливість у першій програмі встановлення Epic для Android на Android, яка дозволила будь-якій програмі на вашому телефоні завантажувати та встановлювати що- небудь у фоновому режимі, включаючи додатки з наданими повними дозволами, без відома користувача. Колектив служби безпеки Google вперше розкрив цю вразливість в Epic Games 15 серпня, і з цього часу публічно оприлюднив інформацію після підтвердження від Epic, що вразливість була виправлена.
Коротше кажучи, саме такий подвиг, який Android Central та інші побоювались, відбуватиметься з такою системою інсталяції. Ось що потрібно знати про вразливість та як переконатися, що ви можете безпечно йти вперед.
Що таке вразливість і чому це так погано?
Коли ви переходите до завантаження "Fortnite", ви фактично не завантажуєте всю гру, ви спочатку завантажуєте Fortnite Installer. Установник Fortnite - це просте додаток, яке ви завантажуєте та встановлюєте, яке згодом завантажує повну гру Fortnite безпосередньо з Epic.
Програму Fortnite Installer було легко експлуатувати для викрадення запиту на повну гру.
Проблема, як виявила команда безпеки Google, полягала в тому, що програма встановлення Fortnite була дуже легко експлуатуватися, щоб викрасти запит на завантаження Fortnite з Epic і замість цього завантажити що- небудь, коли натискаєте кнопку, щоб завантажити гру. Це відома як атака "людина-на-диску": додаток на вашому телефоні шукає запити, щоб завантажити щось з Інтернету, і перехоплює запит на завантаження чогось іншого, невідомого оригінальному завантажувальному додатку. Це можливо виключно тому, що програма встановлення Fortnite була розроблена неправильно - програма Fortnite Installer навіть не здогадується, що вона просто полегшила завантаження зловмисного програмного забезпечення, а натискання кнопки "запуск" навіть запускає зловмисне програмне забезпечення.
Для того, щоб їх експлуатувати, вам потрібно буде встановити на своєму телефоні додаток, який шукає таку вразливість - але, зважаючи на популярність Fortnite та передчуття випуску, велика ймовірність, що там є небезпечні додатки, які є робити саме це. У багатьох випадках шкідливі програми, встановлені на телефонах, не мають жодного подвигу на них, у них є ціла корисна навантаження, повна багатьох відомих уразливостей для тестування, і такий тип атаки може бути однією з них.
Одним дотиком ви можете завантажити шкідливий додаток, який мав повні дозволи та доступ до всіх даних на телефоні.
Ось де все стає по- справжньому поганим. Через те, як працює модель дозволів Android, вам не доведеться приймати встановлення програми з "невідомих джерел" поза часом, коли ви прийняли цю установку для Fortnite. Через те, як працює цей експлуатувальник, під час встановлення немає жодної ознаки, що ви завантажуєте що-небудь крім Fortnite (а про Fortnite Installer теж немає знань), тоді як на задньому плані встановлюється зовсім інший додаток. Все це відбувається в межах очікуваного потоку установки програми від Fortnite Installer - ви приймаєте інсталяцію, оскільки ви думаєте, що встановлюєте гру. На телефонах Samsung, які отримують додаток від Galaxy Apps, зокрема, дещо гірше: немає навіть першого підказки для дозволу з "невідомих джерел", оскільки Galaxy Apps є відомим джерелом. Далі додаток, який щойно встановлено мовчки, може декларувати та отримувати всі можливі дозволи без вашої подальшої згоди. Не має значення, чи є у вас телефон з Android Lollipop чи Android Pie, або ви вимкнули «невідомі джерела» після встановлення Fortnite Installer - як тільки ви встановили його, ви могли потенційно напасти.
Сторінка відстеження випусків Google для експлуатації має швидкий запис екрана, який показує, як легко користувач може завантажити та встановити програму Fortnite Installer, у цьому випадку з магазину Galaxy Apps Store, і думають, що вони завантажують Fortnite, замість цього завантажуючи та встановлюючи шкідливий додаток, з повними дозволами - камера, місцезнаходження, мікрофон, SMS, сховище та телефон - під назвою "Fortnite". Це займає кілька секунд і жодної взаємодії з користувачем.
Так, це дуже погано.
Як можна переконатися в безпеці
На щастя, Епік діяв швидко, щоб виправити подвиг. За повідомленням Epic, експлуатація була зафіксована менше ніж за 48 годин після отримання повідомлення і була розгорнута до кожного встановленого раніше Fortnite Installer - користувачам просто потрібно оновити Інсталятор, що є справою в один дотик. Установник Fortnite, який приніс виправлення, - це версія 2.1.0, яку ви можете перевірити, запустивши інструмент Fortnite і перейшовши до його налаштувань. Якщо ви з якихось причин мали завантажити більш ранню версію Fortnite Installer, вона запропонує встановити 2.1.0 (або пізнішої версії) перед встановленням Fortnite.
Якщо у вас версія 2.1.0 або новіша версія, ви захищені від цієї вразливості.
Epic Games не оприлюднив інформацію про цю вразливість, крім підтвердження того, що вона була зафіксована у версії 2.1.0 інсталятора, тому ми не знаємо, чи активно її використовували в дикій природі. Якщо ваш Fortnite Installer оновлений, але ви все ще переживаєте, чи вплинула на вас ця вразливість, ви можете видалити Fortnite та Fortnite Installer, а потім знову пройти процес інсталяції, щоб переконатися, що встановлення Fortnite є законним. Ви також можете (і слід) запустити сканування за допомогою Google Play Protect, щоб сподіватися ідентифікувати будь-яку шкідливу програму, якщо вона була встановлена.
Прес-секретар Google мав такий коментар до ситуації:
Безпека користувачів - наш головний пріоритет, і в рамках нашого активного моніторингу зловмисних програм ми виявили вразливість програми установки Fortnite. Ми негайно повідомили Epic Games, і вони вирішили проблему.
Компанія Epic Games надала наступний коментар від генерального директора Тіма Суіні:
Компанія Epic щиро оцінила зусилля Google здійснити поглиблений аудит безпеки Fortnite відразу після нашого випуску на Android, і поділитися результатами з Epic, щоб ми могли швидко видати оновлення, щоб виправити виявлений недолік.
Однак Google безвідповідально публічно розголошував технічні деталі цього недоліку, хоча багато інсталяцій ще не були оновлені та все ще були вразливими.
На мій заклик, інженер з безпеки Epic попросив Google затримати публічне розкриття інформації на типові 90 днів, щоб дати час для більш широкого встановлення оновлення. Google відмовився. Ви можете прочитати все це на веб-сторінці
Намагання Google щодо аналізу безпеки оцінюються і приносять користь платформі Android, однак компанія настільки потужна, як Google, повинна практикувати більш відповідальні терміни розкриття інформації, ніж це, а не наражати на небезпеку користувачів під час зусиль, пов'язаних з PR-програмою, проти розповсюдження Fortnite за межами Google Play від Epic.
Google, можливо, стрибнув акулу в голові Epic, але цей хід дій чітко слідував політиці Google щодо розкриття вразливих місць за 0 днів.
Про що ми дізналися з цього процесу
Я повторю те, що вже багато років говориться на Android Central: неймовірно важливо встановлювати додатки лише компаній і розробників, яким ви довіряєте. Цей експлуатація, настільки ж погана, як і все-таки, вимагає, щоб у вас встановлено і Fortnite Installer, і інше шкідливе додаток, яке зробить запит на завантаження більш згубного програмного забезпечення. З величезною популярністю Fortnite є велика можливість, що ці кола перетинаються, але це не повинно траплятися з вами.
Саме про таку вразливість ми хвилювались, і це сталося в перший день.
Одне з наших занепокоєнь з самого початку прийняття рішення встановити Fortnite за межами Play Store, полягало в тому, що популярність гри переважає загальний здоровий глузд людей дотримуватися Play Store для своїх додатків. Це така вразливість, яка, швидше за все, виявиться в процесі огляду переходу на Play Store, і вона буде виправлена раніше, ніж будь-яка велика кількість людей завантажила її. І за допомогою Google Play Protect на вашому телефоні Google зможе віддалено вбити та видалити додаток, якщо він коли-небудь виводить його в дику природу.
Зі свого боку, Google все-таки зумів подолати цю вразливість, навіть якщо додаток не поширюється через Play Store. Ми вже знаємо, що Google Play Protect може сканувати додатки на вашому телефоні, навіть якщо вони були встановлені безпосередньо з Інтернету чи іншого магазину додатків, і в цьому випадку цей процес був підкріплений талановитою командою служби безпеки в Google, яка виявила вразливість і повідомила це для розробника. Цей процес, як правило, відбувається у фоновому режимі без особливих фанфарів, але коли ми говоримо про такий додаток, як Fortnite, з вірогідними десятками мільйонів установок, він показує, наскільки серйозно Google сприймає безпеку в Android.
Оновлення: цю статтю було оновлено уточненою інформацією про експлуатування, а також коментарем генерального директора Epic Games Тіма Свіні.
