Vo Fortnite na Androide bezpečnostná chyba, tvorca obvinil Google z nezodpovednosti

Značky: AndroidbezpečnosťhryGoogle

DSL.sk, 27.8.2018

V oblasti bezpečnosti na platforme mobilného operačného systému Android aktuálne prišlo k incidentu medzi gigantami Google a Epic Games, ktorý odštartovala chyba v populárnej hre Fortnite pre Android.

Mimoriadne populárna akčná hra uvedená na iných platformách v minulom roku bola v auguste uvedená vydavateľom Epic Games aj pre Android, spoločnosť ju ale nezverejnila v obchode Google Play zrejme aby sa nemusela deliť s Google o príjmy z hry. Inštalovať je ju možné zo Samsung obchodu alebo priamo stiahnutím od Epic Games.

Google ale v hre objavil zraniteľnosť typu označovaného ako Man-in-The-Disk, MiTD, útok. Prvotná inštalovaná aplikácia vyžadujúca schválenia oprávnení užívateľom v skutočnosti nie je priamo samotnou hrou ale len jej inštalátorom, ktorý si následne sťahuje inštalačné súbory hry a nainštaluje ich.

Inštalačné súbory sťahuje ale na tzv. externé úložisko, microSD kartu respektíve vyčlenenú časť internej flash. Škodlivá aplikácia prítomná na smartfóne s oprávnením zapisovať na externé úložisko môže tomuto inštalátoru po stiahnutí podvrhnúť ľubovoľný iný aj škodlivý inštalačný súbor, ktorý inštalátor hry Fortnite nainštaluje. Takto nainštalovaná aplikácia získa vďaka tomu vyššie oprávnenia, ktoré už užívateľ vzhľadom na pridelené oprávnenia Fortnite inštalátoru neschvaľuje.

Google na chybu upozornil Epic Games podľa dostupných informácií 15. augusta, spoločnosť ju promptne opravila. Následne Google v uplynulých dňoch zverejnil existenciu chyby aj jej technické detaily.

Tento krok ale Epic Games výrazne kritizuje, od Google to podľa stanoviska CEO Tima Sweeneyho pre médiá bolo nezodpovedné, keďže je ešte veľa inštalácií zraniteľných. Sweeney dokonca Google obvinil z vystavenia užívateľov nebezpečenstvu a krok označil za PR snahu proti rozhodnutiu Epic Games distribuovať Fortnite mimo Google Play.

Epic Games podľa Sweeneyho žiadala Google aby detaily nezverejnil po dobu 90 dní, jeho štandardnú lehotu na zverejnenie objavených chýb pokiaľ nie sú opravené. Google má pravidlá pre zverejňovanie zraniteľností, termíny zverejnenia v prípade opravenia chýb v nich ale zrejme nie sú jasne definované. Hovorí sa v nich, že detaily sa môžu zverejniť skôr ak bola vydaná oprava, zároveň podľa ďalšieho pravidla môžu byť detaily zverejnené po 7 dňoch ak sa chyba už zneužíva. Podľa ktorého ustanovenia Google detaily zverejnil nie je zatiaľ jasné.

Podľa Sweeneyho v každom prípade mal z komunikácie s Google vyplynúť zaujímavý fakt, že Google monitoruje inštalácie Fortnite na všetkých Android zariadeniach aj keď sa neinštalujú z Google Play a podľa jeho zistení nezostávalo veľa neopravených inštalácií. Detaily ako má zbierať tieto dáta CEO Epic Games neavizuje, potenciálnym kandidátom je zrejme ale ochrana Google Play Protect preverujúca zrejme inštalácie všetkých aplikácií.




Najnovšie články:



Diskusia:

zabomysie vojny Od: pingmeter | Pridané: 27.8.2018 10:22 kks a co jako cakali? pripravili google o nemalo penazi, tak samozrejme ze ten vyuzije kazdu moznost ako im to vratit. google s androidom ma take monopolne postavenie, ze mu moze byt uplne jedno ci tym poskodi par ludi, ktori maju este zranitelny system. Odpovedať Známka: -5.0 Hodnotiť:

Re: zabomysie vojny Od: chronik | Pridané: 27.8.2018 11:21 Google ma dovod byt nervozny a "nepomahat", lebo co ak EPIC bol len prvy, a teraz vsetky firmy s top/AAA titulmi budu nasledovat a nebudu podporovat stiahnutie cez google play? To uz bude znatelna strata pre google. Firmy s top titulmi si nechaju nieco zaplatit od Samsungu/Amazonu atd za exkluzivitu a este nebudu musiet platit vynosy z reklam, pripadne 30% z predaja googlu. Co su statisice/miliony dolarov pri takto popularnom titule. Odpovedať Známka: 8.0 Hodnotiť:

ô§ô§§ô Od: arch_bastard | Pridané: 27.8.2018 10:40 je vypadok skylink niektore kanaly? Joj nefici, joj+1 ide markiza ide, ale markiza+1 nejde Odpovedať Známka: -7.5 Hodnotiť:

Re: ô§ô§§ô Od reg.: cpt.obvious | Pridané: 27.8.2018 11:41 volaj mackovi Odpovedať Známka: 10.0 Hodnotiť:

Re: ô§ô§§ô Od: dubik | Pridané: 27.8.2018 11:56 Hej, ani nam nejdu niektore kanaly. Odpovedať Známka: 3.3 Hodnotiť:

Re: ô§ô§§ô Od reg.: saruman | Pridané: 27.8.2018 13:28 Vyskúšaj izbovú anténu. Pohybom po izbe nájdi najlepší signál. Po nainštalovaní všetci sadnúť a pohybovať sa čo najmenej. Potom môžeš vynadať Mackovi. Odpovedať Známka: 5.6 Hodnotiť:

Google Od: hmm. | Pridané: 27.8.2018 10:41 Google je aj tak nezodpovedný. To že sa takáto chyba teraz vyskytla v jednom produkte neznamená že nie je aj v ďalších. Minimálne takéto zverejnenie detailov ako to celé funguje dá nápady hackerom skúšať to aj v iných produktoch. Odpovedať Známka: -7.1 Hodnotiť:

Re: Google Od: Djdjdjd | Pridané: 27.8.2018 10:49 O Man-in-the-Disk utoku sa hovorilo aj na tohtorocnom DefCone, takze to nie je ziadna tajnost. Odpovedať Známka: 6.0 Hodnotiť:

Re: Google Od: hmm. | Pridané: 27.8.2018 19:18 Takže Google nie je jediný kto je nezodpovedný a nechoď na mňa s tým že je to bežná prax a že práve kvôli tomu tie konferencie existujú. To že niečo existuje ešte neznamená že je to správne a/alebo že je správna forma v akej to existuje. Kedysi boli tiež zverejňované bezpečnostné zraniteľnosti rôzneho softvéru, ale nie detaily a popisy ako to celé funguje a ako to presne zneužiť čo môže pomáhať hlavne menej skúseným, ale o to viac zákerným jedincom v snahe škodiť. Odpovedať Známka: -2.0 Hodnotiť:

Re: Google Od: Ccjdsjejr | Pridané: 27.8.2018 21:20 Ale toto nie je nic specialne. Nie je za tym ziadne zaklinadlo alebo hlboka uvaha. V najjednoduchsej verzii to funguje tak, ze instalator nainstaluje cokolvek sa nachadza na zadanej ceste, lebo kto by predsa utocil. A utocnik, ktory uz musi alebo musel mat v systeme aplikaciu tam proste da vlastny subor. Neviem, komu by pomohlo, keby sa toto nezverejnilo. Ak to chce niekto zneuzit, tak to nebude uplny blbec a prezradenie podobnej zranitelnosti nic neznamena. Odpovedať Hodnotiť:

Re: Google Od: Becca STC | Pridané: 28.8.2018 8:39 No a? Tak nech si to opravia. Že zverejnenie zraniteľnosti je nezodpovednosť, totálny nonsens. Script kiddies to aj tak nezvládnu zneužiť a tí, čo by mohli, o tom dávno vedia. Odpovedať Hodnotiť:

....... Od: eternal_noob | Pridané: 27.8.2018 10:43 keby google nebol nenazrany a nepytal 30% proviziu mozno by to distribuovali aj cez google play... Odpovedať Známka: 3.8 Hodnotiť:

Re: ....... Od reg.: cpt.obvious | Pridané: 27.8.2018 11:39 ano, chceli usetrit / zarobit, a este aj skoro zarobili na malware :-)) google to spravil dobre, inac by ta chyba nebola opravena mesiace, a ktovie kolko nakazenych androidov. Odpovedať Známka: 6.7 Hodnotiť:

Re: ....... Od: Hroch_asdf | Pridané: 28.8.2018 8:40 Som presvedčený, že Google to má lepšie spočítané, ako ty. ;) Odpovedať Hodnotiť:

giganti Od: Problem | Pridané: 27.8.2018 12:13 Google je gigant, Epic Games nie. Odpovedať Známka: 7.1 Hodnotiť:

a to je aj dovod Od: jasomto. | Pridané: 27.8.2018 13:49 prečo apple na iphone nikdy nezavedie externe karty až kým nebudú karty dostatočne rýchle , bezpečne, encryptovatelne za behu v dostatočnej rychlosti Odpovedať Známka: -5.4 Hodnotiť:

Re: a to je aj dovod Od: re..... | Pridané: 27.8.2018 18:41 lenze oni uz su a kazdy ich pouziva Odpovedať Známka: 2.0 Hodnotiť:

Re: a to je aj dovod Od: miro j. | Pridané: 27.8.2018 18:56 iphone karty nezavedie lebo by nemalo velmi zmysel kupovat predrazene modely s vacsou kapacitou...a apple by prisiel o dost vela penazi. Tym ze nema karty nuti iOvecky priplatit si za vacsi priestor dost vela penazi pritom je to jeden flash cip za 20 30 dolarov ktory staci naprogramovat a napajkovat na logic board... Odpovedať Známka: 6.0 Hodnotiť:

Re: a to je aj dovod Od: Oer Oer | Pridané: 28.8.2018 8:41 Bla bla bla Odpovedať Hodnotiť:

Re: a to je aj dovod Od: Jukol | Pridané: 28.8.2018 10:45 Vieš o tom, že 128 GB microSD karta s rýchlosťou 100 MB/s stojí 85 €? Interná pamäť v iPhone 7 a 8 a nových Samsungoch S8 a S9 má rýchlosť prenosu do 1200 MB/s. Je to rozdiel cca. 12x. Nepíš mi tu potom o tých cenách microSD, keď sú to spomalené sračky za 30 dolárov. Odpovedať Hodnotiť:

Titulok Od: Gataka | Pridané: 27.8.2018 16:43 Nefortneme! Odpovedať Známka: 3.3 Hodnotiť:

google Od: terminator | Pridané: 28.8.2018 12:27 Dnes som bol na CloudSec 2018 Australia a tam byvali specialny agent a eticky hacker nadavali kvalitne na google na ich sluzby a android co sa tyka bezpecnosti. Odpovedať Hodnotiť:

Pridať komentár