Epic GamesがFortniteのために、Google PlayではなくAndroid上で独自のインストーラーを作成するというニュースを受け、セキュリティ上の懸念が生じました。その懸念はその後現実のものとなり、Epic GamesとGoogleが、最初のバージョンのFortnite Installerに重大なセキュリティ欠陥が含まれていたことを確認しました。

この重大な欠陥により、ハッカーや悪意のあるアプリがユーザーの端末に静かにあらゆるものをインストールできるようになりました。これには完全権限を持つアプリも含まれます。では、これがどのように起こったのかを説明します。Fortnite をダウンロードするには、まず Fortnite Installer をダウンロードする必要があり、それによってゲームが入手されます。Googleのセキュリティチームによると、Fortnite Installer は簡単に乗っ取られ、別の APK から命令されて、自分がまだ Fortnite のダウンロード中だと信じているにもかかわらず、別のアプリをインストールできてしまいます。
このエクスプロイトが行うことは、悪意のあるAPK(WRITE_EXTERNAL_STORAGE権限を持つものなら何でも)が正当なゲームのFortniteインストーラーによるインストールを傍受し、別のAPKに置き換えることです。最後の瞬間での傍受にもかかわらず、Fortniteインストーラーは依然としてFortniteをダウンロードしていると思い込みます。
次に、Googleによると、偽の APK の targetSdkVersion が 22 以下の場合、インストール時にアプリは要求したすべての権限を付与されます。Fortnite Installer がすべてのチェックを行うため、ユーザーが偽の APK の権限リクエストを許可する機会さえなく、すべてが行われます。なお、この脆弱性が機能するのは、悪意のある APK と最初の Fortnite Installer の両方が存在する場合に限られます。
ユーザーのセキュリティは私たちの最優先事項であり、マルウェアに対する予防的な監視の一環として、Fortnite インストーラーに脆弱性があることを特定しました。私たちは直ちに Epic Games に通知し、同社は問題を修正しました。-- Google 広報担当者
Epic Games はその後、インストーラーのバージョン 2.1.0 のリリースによりこの問題を修正しました。Fortnite インストーラーは、Fortnite のダウンロードを続行する前に、ユーザーが以前のバージョンを使用している場合に通知します。したがって、最初のバージョンのインストーラーをダウンロードした方は、すぐにバージョン 2.1.0 に更新することをお勧めします。それに加えて、私たちは読者に対し、アプリは公式かつ信頼できるソースからのみダウンロードするよう改めて要請いたします。
出典: Google 問題トラッカー
経由: Android セントラル

0 Comments
Leave a Reply