Falla crítica en la aplicación de Fortnite para Android permite a los hackers instalar Malware


Investigadores de seguridad de Google han revelado públicamente un fallo de seguridad extremadamente grave en el primer instalador de Fortnite para Android que podría permitir que otras aplicaciones instaladas en los dispositivos objetivo manipularan el proceso de instalación y cargaran malware, en lugar de Fortnite APK.

A principios de este mes, Epic Games anunció que no haría disponible su juego increíblemente popular ‘ Fortnite para Android ‘ a través de Google Play Store, sino a través de su propia aplicación.

Muchos investigadores advirtieron a la empresa que este enfoque podría poner a los usuarios de Android en un riesgo mayor, ya que no se recomienda descargar APK fuera de Play Store y requiere que los usuarios desactiven también algunas funciones de seguridad en los dispositivos Android.

Y parece que esos temores e inquietudes eran verdad.

Los desarrolladores de Google descubrieron un error de seguridad peligroso tan pronto como se lanzó el juego Fortnite en Android.

Fortnite Android Installer Vulnerable a Man-in-the-Disk Attack

En un video de prueba de concepto publicado por Google, los investigadores demostraron que su ataque se aprovecha de un nuevo vector » man-in-the-disk » (MitD) (detallado en nuestro artículo anterior).

En pocas palabras, los ataques de man-in-the-disk permiten que las aplicaciones maliciosas manipulen los datos de otras aplicaciones almacenadas en el almacenamiento externo sin protección antes de que lo lean, lo que resulta en la instalación de aplicaciones no deseadas en lugar de la actualización legítima.

Para aquellos que no saben, para instalar Fortnite en su teléfono Android , primero necesita instalar una aplicación de «ayuda» (instalador) que descarga Fortnite en el almacenamiento de su teléfono y lo instala en su teléfono.

Los desarrolladores de Google descubrieron que cualquier aplicación en su teléfono con el permiso WRITE_EXTERNAL_STORAGE podría interceptar la instalación y reemplazar el archivo de instalación con otra APK maliciosa , incluida una con permisos completos como acceso a su SMS, historial de llamadas, GPS o incluso cámara sin su conocimiento.

«En dispositivos Samsung, el instalador de Fortnite realiza la instalación de APK silenciosamente a través de una API de aplicaciones Galaxy privada. Esta API comprueba que el APK que se está instalando tiene el nombre de paquete com.epicgames.fortnite. En consecuencia, la APK falsa con un nombre de paquete coincidente puede ser instalado silenciosamente «, dijo el investigador de Google.

«Si el APK falso tiene una TargetSdkVersion de 22 o menos, se le otorgarán todos los permisos que solicite en el momento de la instalación. Esta vulnerabilidad permite que una aplicación en el dispositivo secuestra al instalador Fortnite para instalar un APK falso con todos los permisos que normalmente requieren la divulgación del usuario «.

 

Actualización de parche para Fortnite para Android instalado

Dado que la primera versión del instalador de Fortnite se lanzó exclusivamente en teléfonos Samsung, la vulnerabilidad solo afectó al instalador de Fortnite disponible a través de la tienda Galaxy Apps, y no a la versión disponible para dispositivos que no son de Samsung.

Google descubrió y comunicó la vulnerabilidad el 15 de agosto a Epic Games, que confirmó su existencia, y emitió un parche en tan solo 48 horas con el lanzamiento de la versión 2.1.0 del instalador de Fortnite.

Sin embargo, además de agradecer a Google por compartir los detalles del error, Tim Sweeney, CEO de Epic Games, también criticó al investigador por revelar públicamente la vulnerabilidad en 7 días en lugar de esperar 90 días.

«Le pedimos a Google que mantuviera la divulgación hasta que la actualización estuviera más ampliamente instalada. Se negaron, creando un riesgo innecesario para los usuarios de Android con el fin de obtener puntos de PR baratos», tuiteó Sweeney .

«Pero ¿por qué la rápida publicación de los detalles técnicos? Eso no hace más que darles a los hackers la oportunidad de apuntar a usuarios sin parches».

Por parte de los usuarios, los jugadores de Fortnite son altamente recomendados para actualizar su instalador a la última versión 2.1.0. Si ya lo ha actualizado pero todavía le preocupa el impacto, desinstale y reinstale Fortnite para Android y comience desde cero.

Dado que Epic Games no ha publicado más información sobre este error, no está claro si la falla fue explotada activamente en la naturaleza y cuántas personas descargaron la APK defectuosa de Android.

Vía |TH

log in

reset password

Back to
log in