infinix x yugatech

Epic's first Fortnite Installer had a major security flaw

Listen to article

Epic GamesがFortniteのために、Google PlayではなくAndroid上で独自のインストーラーを作成するというニュースを受け、セキュリティ上の懸念が生じました。その懸念はその後現実のものとなり、Epic GamesとGoogleが、最初のバージョンのFortnite Installerに重大なセキュリティ欠陥が含まれていたことを確認しました。

この重大な欠陥により、ハッカーや悪意のあるアプリがユーザーの端末に静かにあらゆるものをインストールできるようになりました。これには完全権限を持つアプリも含まれます。では、これがどのように起こったのかを説明します。Fortnite をダウンロードするには、まず Fortnite Installer をダウンロードする必要があり、それによってゲームが入手されます。Googleのセキュリティチームによると、Fortnite Installer は簡単に乗っ取られ、別の APK から命令されて、自分がまだ Fortnite のダウンロード中だと信じているにもかかわらず、別のアプリをインストールできてしまいます。

このエクスプロイトが行うことは、悪意のあるAPK(WRITE_EXTERNAL_STORAGE権限を持つものなら何でも)が正当なゲームのFortniteインストーラーによるインストールを傍受し、別のAPKに置き換えることです。最後の瞬間での傍受にもかかわらず、Fortniteインストーラーは依然としてFortniteをダウンロードしていると思い込みます。

Samsung デバイスではさらに深刻で、Fortnite インストーラーが Galaxy Apps API を介して静かにインストールを実行します。この API は、インストールされる APK のパッケージ名が「com.epicgames.fortnite」であるかを確認し、該当すればインストールを続行するため、そのパッケージ名を持つアプリであれば Fortnite でなくても静かにインストールされてしまいます。

次に、Googleによると、偽の APK の targetSdkVersion が 22 以下の場合、インストール時にアプリは要求したすべての権限を付与されます。Fortnite Installer がすべてのチェックを行うため、ユーザーが偽の APK の権限リクエストを許可する機会さえなく、すべてが行われます。なお、この脆弱性が機能するのは、悪意のある APK と最初の Fortnite Installer の両方が存在する場合に限られます。

ユーザーのセキュリティは私たちの最優先事項であり、マルウェアに対する予防的な監視の一環として、Fortnite インストーラーに脆弱性があることを特定しました。私たちは直ちに Epic Games に通知し、同社は問題を修正しました。-- Google 広報担当者

Epic Games はその後、インストーラーのバージョン 2.1.0 のリリースによりこの問題を修正しました。Fortnite インストーラーは、Fortnite のダウンロードを続行する前に、ユーザーが以前のバージョンを使用している場合に通知します。したがって、最初のバージョンのインストーラーをダウンロードした方は、すぐにバージョン 2.1.0 に更新することをお勧めします。それに加えて、私たちは読者に対し、アプリは公式かつ信頼できるソースからのみダウンロードするよう改めて要請いたします。

出典: Google 問題トラッカー
経由: Android セントラル

Frequently Asked Questions

What was the major security flaw in the first Fortnite Installer?
The flaw allowed hackers and malicious apps to silently install anything on a user's phone, including apps with full permissions.
How did the exploit work on the Fortnite Installer?
A malicious APK with WRITE_EXTERNAL_STORAGE permission intercepted the installer's download and substituted it with a different APK.
Why was the flaw worse on Samsung devices?
The Fortnite Installer used the Galaxy Apps API to silently install apps, only checking the package name "com.epicgames.fortnite".
React to this article:
Written by
Zen Estacio

Zen Estacio

Writer

Zen Estacio is a Multimedia Producer for YugaTech. He is the team's laptop guru and one of their resident gamers. He has a monthly column compiling the latest and greatest the Nintendo Switch has to offer. Aside from that, he regularly writes gaming news, reviews, and impressions. You can hit him up at @papanZEN

View all posts by Zen Estacio →

0 Comments

Leave a Reply

Loading next article...