El primer instalador fortnite de Epic permitió a los hackers descargar e instalar cualquier cosa en su teléfono Android en silencio

Google acaba de revelar públicamente que descubrió una vulnerabilidad extremadamente grave en el primer instalador Fortnite de Epic para Android que permitió que cualquier aplicación en su teléfono descargue e instale cualquier cosa en segundo plano, incluidas las aplicaciones con permisos completos otorgados, sin el conocimiento del usuario. El equipo de seguridad de Google reveló por primera vez la vulnerabilidad en privado a Epic Games el 15 de agosto, y desde entonces ha publicado la información públicamente luego de la confirmación de Epic de que la vulnerabilidad fue parchada.

En resumen, este era exactamente el tipo de exploit que Android Central y otros temían que ocurriera con este tipo de sistema de instalación. Esto es lo que necesita saber sobre la vulnerabilidad y cómo asegurarse de que esté seguro en el futuro.

¿Cuál es la vulnerabilidad y por qué es tan mala?

Cuando vas a descargar "Fortnite", en realidad no descargas todo el juego, primero descargas el instalador de Fortnite. Fortnite Installer es una aplicación simple que se descarga e instala, que luego descarga el juego Fortnite completo directamente de Epic.

Fortnite Installer fue fácilmente explotable para secuestrar la solicitud de descarga del juego completo.

El problema, como descubrió el equipo de seguridad de Google, era que el instalador de Fortnite era muy fácil de explotar para secuestrar la solicitud de descarga de Fortnite de Epic y, en su lugar, descargar cualquier cosa cuando toca el botón para descargar el juego. Es lo que se conoce como un ataque de "hombre en el disco": una aplicación en su teléfono busca solicitudes para descargar algo de Internet e intercepta esa solicitud para descargar otra cosa, sin el conocimiento de la aplicación de descarga original. Esto es posible simplemente porque Fortnite Installer se diseñó de manera inadecuada; Fortnite Installer no tiene idea de que simplemente facilitó la descarga de malware, y al tocar "lanzar" incluso se inicia el malware.

Para ser explotado, necesitaría tener una aplicación instalada en su teléfono que buscara tal vulnerabilidad, pero dada la popularidad de Fortnite y la anticipación del lanzamiento, es muy probable que haya aplicaciones desagradables por ahí. haciendo exactamente eso. Muchas veces, las aplicaciones maliciosas que se instalan en los teléfonos no tienen una sola vulnerabilidad, tienen una carga útil completa llena de muchas vulnerabilidades conocidas para probar, y este tipo de ataque podría ser una de ellas.

Con un toque, puede descargar una aplicación maliciosa que tenía permisos completos y acceso a todos los datos en su teléfono.

Aquí es donde las cosas se ponen realmente mal. Debido a la forma en que funciona el modelo de permisos de Android, no tendrá que aceptar la instalación de una aplicación de "fuentes desconocidas" más allá del tiempo que aceptó esa instalación para Fortnite. Debido a la forma en que funciona este exploit, no hay indicios durante el proceso de instalación de que esté descargando otra cosa que no sea Fortnite (y Fortnite Installer tampoco tiene conocimiento), mientras que en el fondo se está instalando una aplicación completamente diferente. Todo esto sucede dentro del flujo esperado de instalación de la aplicación desde el instalador de Fortnite: acepta la instalación porque cree que está instalando el juego. En los teléfonos Samsung que obtienen la aplicación de Galaxy Apps, en particular, las cosas son un poco peores: ni siquiera hay un primer aviso que permita "fuentes desconocidas" porque Galaxy Apps es una fuente conocida. Yendo más allá, esa aplicación que se instaló silenciosamente puede declarar y obtener todos los permisos posibles sin su consentimiento adicional. No importa si tiene un teléfono con Android Lollipop o Android Pie, o si apagó las "fuentes desconocidas" después de instalar el Instalador de Fortnite, tan pronto como lo instaló, podría ser atacado.

La página del Rastreador de problemas de Google para el exploit tiene una grabación de pantalla rápida que muestra la facilidad con que un usuario puede descargar e instalar el instalador de Fortnite, en este caso desde Galaxy Apps Store, y cree que está descargando Fortnite mientras descarga e instala un malicioso aplicación, con permisos completos: cámara, ubicación, micrófono, SMS, almacenamiento y teléfono, llamada "Fortnite". Tarda unos segundos y no hay interacción del usuario.

Sí, esta es bastante mala.

Cómo puedes asegurarte de estar seguro

Afortunadamente, Epic actuó rápidamente para solucionar el problema. Según Epic, el exploit se arregló menos de 48 horas después de ser notificado y se implementó en cada Instalador Fortnite que se había instalado anteriormente; los usuarios simplemente necesitan actualizar el Instalador, lo cual es un asunto de un solo toque. El instalador de Fortnite que trajo la solución es la versión 2.1.0, que puede verificar iniciando el instalador de Fortnite y yendo a su configuración. Si, por cualquier motivo, descargó una versión anterior de Fortnite Installer, se le solicitará que instale 2.1.0 (o posterior) antes de instalar Fortnite.

Si tiene la versión 2.1.0 o posterior, está a salvo de esta vulnerabilidad en particular.

Epic Games no ha publicado información sobre esta vulnerabilidad además de confirmar que se ha solucionado en la versión 2.1.0 del instalador, por lo que no sabemos si se explotó activamente en la naturaleza. Si su instalador de Fortnite está actualizado, pero todavía le preocupa si se vio afectado por esta vulnerabilidad, puede desinstalar Fortnite y el instalador de Fortnite, luego volver a realizar el proceso de instalación para asegurarse de que su instalación de Fortnite sea legítima. También puede (y debe) ejecutar un escaneo con Google Play Protect para, con suerte, identificar cualquier malware si estaba instalado.

Un portavoz de Google hizo el siguiente comentario sobre la situación:

La seguridad del usuario es nuestra principal prioridad y, como parte de nuestro monitoreo proactivo para malware, identificamos una vulnerabilidad en el instalador de Fortnite. Notificamos de inmediato a Epic Games y solucionaron el problema.

Epic Games proporcionó el siguiente comentario del CEO Tim Sweeney:

Epic realmente apreció el esfuerzo de Google para realizar una auditoría de seguridad en profundidad de Fortnite inmediatamente después de nuestro lanzamiento en Android, y compartir los resultados con Epic para que podamos emitir rápidamente una actualización para corregir la falla que descubrieron.

Sin embargo, fue irresponsable de Google revelar públicamente los detalles técnicos de la falla tan rápidamente, mientras que muchas instalaciones aún no se habían actualizado y aún eran vulnerables.

Un ingeniero de seguridad épico, a instancias mías, solicitó a Google que retrasara la divulgación pública durante los típicos 90 días para dar tiempo a que la actualización se instale más ampliamente. Google se negó. Puede leerlo todo en

Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android, sin embargo, una compañía tan poderosa como Google debería practicar un tiempo de divulgación más responsable que esto, y no poner en peligro a los usuarios en el curso de sus esfuerzos contrarias a las relaciones públicas contra la distribución de Fortnite por parte de Epic fuera de Google Play.

Google puede haber saltado al tiburón en la mente de Epic, pero este curso de acción claramente siguió la política de Google para la divulgación de vulnerabilidades de 0 días.

Lo que aprendimos de este proceso

Repetiré algo que se ha dicho en Android Central desde hace años: es increíblemente importante instalar solo aplicaciones de empresas y desarrolladores de confianza. Este exploit, por malo que sea, aún requiere que tenga instalado el Instalador Fortnite y otra aplicación maliciosa que haría que la solicitud de descarga de malware más dañino. Con la popularidad masiva de Fortnite, existe una gran posibilidad de que esos círculos se superpongan, pero no tiene que sucederle.

Este es exactamente el tipo de vulnerabilidad que nos preocupaba, y sucedió el día 1.

Una de nuestras preocupaciones desde el principio con la decisión de instalar Fortnite fuera de Play Store fue que la popularidad del juego dominaría el buen sentido general de las personas de quedarse con Play Store para sus aplicaciones. Este es el tipo de vulnerabilidad que probablemente quedaría atrapada en el proceso de revisión de ingresar a Play Store y se solucionaría antes de que una gran cantidad de personas la descargara. Y con Google Play Protect en su teléfono, Google podría matar y desinstalar la aplicación de forma remota si alguna vez llegara a la naturaleza.

Por su parte, Google aún logró detectar esta vulnerabilidad a pesar de que la aplicación no se distribuye a través de Play Store. Ya sabemos que Google Play Protect puede escanear aplicaciones en su teléfono incluso si se instalaron directamente desde la web u otra tienda de aplicaciones, y en este caso ese proceso fue respaldado por un talentoso equipo de seguridad en Google que descubrió la vulnerabilidad e informó para el desarrollador Este proceso generalmente ocurre en segundo plano sin mucha fanfarria, pero cuando hablamos de una aplicación como Fortnite con probablemente decenas de millones de instalaciones, muestra cuán en serio Google se toma la seguridad en Android.

Actualización: Este artículo ha sido actualizado con información aclarada sobre el exploit, así como un comentario del CEO de Epic Games, Tim Sweeney.