תוכן עניינים:
גוגל רק חשפה בפומבי כי היא גילתה פגיעות חמורה ביותר במתקין ה- Fortnite הראשון של Epic עבור אנדרואיד, שאיפשרה לכל אפליקציה בטלפון שלך להוריד ולהתקין כל דבר ברקע, כולל אפליקציות עם הרשאות מלאות שניתנו, ללא ידיעת המשתמש. צוות האבטחה של גוגל חשף לראשונה את הפגיעות באופן פרטי ל- Epic Games ב- 15 באוגוסט, ומאז פרסמה את המידע בפומבי בעקבות אישור מ- Epic כי התיקון פגיע בפגיעות.
בקיצור, זה היה בדיוק סוג הניצול שאנדרואיד סנטרל ואחרים חששו שיתרחש במערכת התקנה מסוג זה. להלן מה שאתה צריך לדעת על הפגיעות וכיצד לוודא שאתה בטוח בהמשך.
מה הפגיעות ומדוע היא כל כך גרועה?
כשאתה הולך להוריד את "Fortnite" אתה לא באמת מוריד את כל המשחק, אתה מוריד תחילה את מתקין Fortnite. מתקין Fortnite הוא אפליקציה פשוטה שאתה מוריד ומתקין, ובהמשך מורידה את משחק Fortnite המלא ישירות מ- Epic.
מתקין Fortnite היה ניתן לנצל בקלות כדי לחטוף את הבקשה להורדת המשחק המלא.
הבעיה, כפי שגילה צוות האבטחה של גוגל, הייתה שהמתקין של Fortnite ניצל מאוד בקלות כדי לחטוף את הבקשה להוריד את Fortnite מ- Epic ובמקום זאת להוריד כל דבר כשאתה לוחץ על הכפתור כדי להוריד את המשחק. זה מה שמכונה התקפת "איש בדיסק": אפליקציה בטלפון שלך מחפשת בקשות להוריד משהו מהאינטרנט ומיירטת את הבקשה הזו כדי להוריד משהו אחר במקום זאת, בלי לדעת לאפליקציית ההורדה המקורית. זה אפשרי אך ורק מכיוון שמתקין Fortnite תוכנן בצורה לא נכונה - למתקין Fortnite אין שום מושג שהוא פשוט הקל על הורדת התוכנה הזדונית, והקשה על "השקה" אפילו משיקה את התוכנה הזדונית.
כדי להיות מנוצל, תצטרך להתקין בטלפון אפליקציה שלך שחיפשה פגיעות כזו - אך בהתחשב בפופולריות של Fortnite והציפייה לשחרור, סביר מאוד להניח שיש אפליקציות לא שמורות שיש עושה בדיוק את זה. פעמים רבות לאפליקציות זדוניות המותקנות בטלפונים אין עליהן ניצול אחד, יש בהן עומס שלם מלא בפגיעויות ידועות רבות שיש לבדוק, וסוג זה של התקפה יכול להיות אחד מהם.
בלחיצה אחת תוכל להוריד אפליקציה זדונית בעלת הרשאות וגישה מלאה לכל הנתונים בטלפון שלך.
כאן הדברים נעשים ממש גרועים. בגלל אופן הפעולה של מודל ההרשאות של אנדרואיד, לא תצטרך לקבל התקנה של אפליקציה מ"מקורות לא ידועים "מעבר לזמן שקיבלת את ההתקנה הזו עבור Fortnite. בגלל אופן הפעולה של ניצול זה, אין שום אינדיקציה במהלך תהליך ההתקנה שאתה מוריד שום דבר אחר מלבד Fortnite (וגם ל- Fortnite Installer אין שום ידע), כאשר ברקע מותקנת אפליקציה אחרת לגמרי. כל זה קורה בתוך הזרימה הצפויה של התקנת האפליקציה מהמתקין Fortnite - אתה מקבל את ההתקנה, מכיוון שאתה חושב שאתה מתקין את המשחק. בפרט בטלפונים של סמסונג שמקבלים את האפליקציה מ- Galaxy Apps, הדברים מעט גרועים יותר: אין אפילו הנחיה ראשונה להתיר מ"מקורות לא ידועים "מכיוון ש- Galaxy Apps הוא מקור ידוע. בהמשך הדרך, אותה אפליקציה שרק הותקנה בשקט יכולה להצהיר ולהעניק לה כל אישור אפשרי ללא הסכמתך נוספת. לא משנה אם יש לך טלפון עם Android Lollipop או Android Pie, או אם כיבית "מקורות לא ידועים" לאחר התקנת מתקין Fortnite - ברגע שהתקנת אותו, אתה עלול להיות מותקף.
בדף Tracker Issue של גוגל לניצול יש הקלטת מסך מהירה המציגה עד כמה קל המשתמש יכול להוריד ולהתקין את מתקין Fortnite, במקרה זה מחנות Galaxy Apps, וחושב שהם מורידים את Fortnite תוך כדי הורדת והתקנת זדונית. אפליקציה, עם הרשאות מלאות - מצלמה, מיקום, מיקרופון, SMS, אחסון וטלפון - המכונה "Fortnite." זה לוקח כמה שניות וללא אינטראקציה של משתמשים.
כן, זה די גרוע.
איך אתה יכול לוודא שאתה בטוח
למרבה המזל, Epic פעלה במהירות כדי לתקן את המנצל. על פי Epic, הניצול תוקן פחות מ -48 שעות לאחר שהודע על כך והועלה לכל מתקין Fortnite שהותקן בעבר - המשתמשים פשוט צריכים לעדכן את המתקין, שהוא רישום בלחיצה אחת. מתקין Fortnite שהביא את התיקון הוא גרסה 2.1.0, שתוכלו לבדוק אם היא מפעילה את מתקין Fortnite ועוברת להגדרות שלו. אם מסיבה כלשהי היית מוריד להוריד גרסה קודמת של Fortnite Installer, הוא יבקש ממך להתקין 2.1.0 (ואילך) לפני התקנת Fortnite.
אם ברשותך גרסה 2.1.0 ואילך, אתה בטוח מפני פגיעות מסוימת זו.
Epic Games לא פרסמה מידע על פגיעות זו מחוץ לאישור שהיא תוקנה בגרסה 2.1.0 של המתקין, כך שאיננו יודעים אם היא נוצלה באופן פעיל בטבע. אם מתקין Fortnite מעודכן, אך אתה עדיין חושש אם הושפעת מפגיעות זו, באפשרותך להסיר את ההתקנה של Fortnite ואת מתקין Fortnite, ואז לעבור שוב על תהליך ההתקנה כדי לוודא שהתקנת Fortnite שלך לגיטימית. אתה יכול (וצריך) גם לבצע סריקה באמצעות Google Play Protect כדי לקוות בתקווה לזהות תוכנה זדונית כלשהי אם הותקנה.
דובר גוגל העיר את הדברים הבאים על המצב:
האבטחה למשתמשים היא בראש סדר העדיפויות שלנו, וכחלק מהניטור הפרואקטיבי שלנו אחר תוכנות זדוניות, זיהינו פגיעות במתקין Fortnite. הודענו מייד ל- Epic Games והם תיקנו את הבעיה.
Epic Games סיפק את ההערה הבאה של המנכ"ל טים סוויני:
Epic העריך באמת את המאמץ של גוגל לבצע ביקורת אבטחה מעמיקה של Fortnite מיד לאחר פרסוםנו באנדרואיד, ולשתף את התוצאות עם Epic כדי שנוכל להוציא במהירות עדכון כדי לתקן את הפגם שגילו.
עם זאת, Google לא הייתה אחראית לחשוף באופן פומבי את הפרטים הטכניים של הפגם כל כך מהר, בעוד שהתקנות רבות עדיין לא עודכנו והיו עדיין פגיעות.
מהנדס אבטחה של Epic, בדחיי, ביקש מגוגל לעכב את הגילוי הציבורי במשך 90 הימים האופייניים כדי לאפשר זמן להתקנת העדכון בצורה רחבה יותר. גוגל סירבה. תוכלו לקרוא את הכל בכתובת
מאמצי ניתוח האבטחה של גוגל זוכים להערכה ומועילים לפלטפורמת אנדרואיד, עם זאת, חברה חזקה כמו שגוגל צריכה לתרגל תזמון חשיפה אחראי יותר מזה, ולא לסכן משתמשים במהלך מאמצי ה- PR שלהם נגד ההפצה של Epic של Fortnite מחוץ לגוגל פליי..
ייתכן שגוגל קפיצה את הכריש במוחו של Epic, אך דרך פעולה זו עקבה בבירור אחר מדיניותה של גוגל לחשיפת נקודות תורפה של 0 יום.
מה שלמדנו מתהליך זה
אני אחזור על דברים שנאמרו ב- Android Central כבר שנים: חשוב להפליא להתקין אפליקציות רק מחברות ומפתחים שאתה סומך עליהם. ניצול זה, גרוע ככל שיהיה, עדיין נדרש להתקין גם את מתקין Fortnite וגם אפליקציה זדונית אחרת שתגרום לבקשה להוריד תוכנות זדוניות מזיקות יותר. עם הפופולריות העצומה של פורטניט יש אפשרות גדולה שהמעגלים האלה חופפים זה לזה, אבל זה לא צריך לקרות לך.
זו בדיוק סוג הפגיעות שדאגנו לה וזה קרה ביום הראשון.
אחת הדאגות שלנו מההתחלה מההחלטה להתקין את Fortnite מחוץ לחנות Play הייתה שהפופולריות של המשחק תעלה על תחושת הכלל הטובה של האנשים להיצמד לחנות Play עבור היישומים שלהם. זו סוג הפגיעות שסביר להניח להיתפס בתהליך הסקירה של כניסה לחנות Play, והיא תתוקן לפני שמספר גדול של אנשים הורידו אותה. ועם Google Play Protect בטלפון שלך, גוגל תוכל להרוג ולהסיר את האפליקציה מרחוק אם היא אי פעם תצא לפראות.
מצדה, גוגל עדיין הצליחה לתפוס את הפגיעות הזו למרות שהאפליקציה לא מופצת דרך חנות Play. אנו כבר יודעים ש- Google Play Protect מסוגלת לסרוק אפליקציות בטלפון שלך גם אם הותקנו ישירות מהאינטרנט או מחנות אפליקציות אחרת, ובמקרה זה גיבוי תהליך זה על ידי צוות אבטחה מוכשר בגוגל, שמצא את הפגיעות ודיווח זה למפתח. תהליך זה בדרך כלל מתרחש ברקע ללא תרועה רבה, אך כאשר אנו מדברים על אפליקציה כמו Fortnite עם ככל הנראה עשרות מיליוני התקנות, זה מראה עד כמה ברצינות גוגל לוקחת אבטחה באנדרואיד.
עדכון: מאמר זה עודכן במידע מובהק על הניצול, כמו גם תגובה מאת מנכ"ל Epic Games, טים סוויני.
