Une faille critique dans l’application Android Fortnite permet aux pirates informatiques d’installer des logiciels malveillants

Les chercheurs en sécurité de Google ont révélé publiquement une faille de sécurité extrêmement grave dans le premier programme d’installation Fortnite pour Android.

qui pourrait permettre à d’autres applications installées sur les appareils ciblés de manipuler le processus d’installation et de charger des logiciels malveillants.
Plus tôt ce mois-ci, Epic Games a annoncé de ne pas rendre son jeu incroyablement populaire « Fortnite for Android » disponible via le Google Play Store, mais via sa propre application.

De nombreux chercheurs ont averti l’entreprise que cette approche pourrait potentiellement exposer les utilisateurs d’Android, car le téléchargement des fichiers APK en dehors du Play Store n’est pas recommandé et oblige les utilisateurs à désactiver certaines fonctionnalités de sécurité sur les appareils Android.

Et il semble que ces craintes et préoccupations étaient vraies.
Les développeurs de Google ont découvert une faille de sécurité dangereuse dès le lancement du jeu Fortnite sur Android.

Fortnite Android Installer vulnérable à l’attaque de Man-in-the-Disk

Dans une vidéo de preuve de concept publiée par Google, les chercheurs ont démontré que leur attaque tire parti d’un nouveau vecteur « Man-in-the- Disk » (MitD) (détaillé dans notre article précédent).

En résumé, les attaques par mannequin permettent à des applications malveillantes de manipuler les données d’autres applications stockées dans le stockage externe non protégé avant leur lecture, ce qui entraîne l’installation d’applications indésirables au lieu de la mise à jour légitime.

Pour ceux qui ne le savent pas, pour installer Fortnite sur votre téléphone Android , vous devez d’abord installer une application « assistant » (installateur) qui télécharge Fortnite sur le stockage de votre téléphone et l’installe sur votre téléphone.

Les développeurs de Google ont découvert que toute application sur votre téléphone avec l’autorisation WRITE_EXTERNAL_STORAGE pouvait intercepter l’installation et remplacer le fichier d’installation par un autre fichier APK , y compris un accès complet à vos SMS, connaissance.

"Sur les appareils Samsung, le programme d’installation de Fortnite exécute l’installation APK en mode silencieux via une API Galaxy Apps privée. Cette API vérifie que l’APK en cours d’installation possède le nom de package com.epicgames.fortnite. installé silencieusement ", a déclaré un chercheur de Google.

"Si le faux APK a une targetSdkVersion de 22 ou moins, il se verra accorder toutes les autorisations qu’il demande à l’installation. Cette vulnérabilité permet à une application sur le périphérique de détourner le Fortnite Installer pour installer un faux APK nécessite normalement la divulgation de l’utilisateur. "

Mise à jour du correctif pour Fortnite pour Android installé

Étant donné que la première version de l’installateur Fortnite était exclusivement lancée sur les téléphones Samsung, la vulnérabilité ne concernait que le programme d’installation Fortnite disponible via le magasin Galaxy Apps, et non la version mise à la disposition des appareils autres que Samsung.

Le 15 août, Google a découvert et signalé la vulnérabilité d’Epic Games, qui a confirmé son existence, et a publié un correctif en seulement 48 heures avec la sortie de la version 2.1.0 du programme d’installation de Fortnite.

Cependant, en plus de remercier Google d’avoir partagé les détails du bogue, le PDG d’Epic Games, Tim Sweeney, a également critiqué le chercheur pour avoir divulgué publiquement la vulnérabilité dans les 7 jours plutôt que d’attendre 90 jours.
*
"Nous avons demandé à Google de conserver l’information jusqu’à ce que la mise à jour soit plus largement installée. Ils ont refusé, créant un risque inutile pour les utilisateurs d’Android afin de gagner des points de relations publiques bon marché", a tweeté Sweeney .

"Mais pourquoi la publication publique rapide des détails techniques ? Cela ne fait que donner aux pirates une chance de cibler les utilisateurs non corrigés."

Pour les utilisateurs, il est fortement recommandé aux joueurs Fortnite de mettre à jour leur programme d’installation avec la dernière version 2.1.0. Si vous avez déjà mis à jour mais êtes toujours inquiet de l’impact, désinstallez et réinstallez Fortnite pour Android et recommencez à zéro.

Comme Epic Games n’a pas publié plus d’informations sur ce bogue, il est difficile de savoir si la faille a été activement exploitée dans la nature et combien de personnes ont téléchargé l’APK Android défectueuse.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |

Actu en image