El primer instalador de Fortnite vino con una falla de seguridad que permitía la instalación silenciosa de cualquier cosa en su teléfono inteligente Android

Después de muchos rumores, Fortnite Mobile finalmente hizo su debut en Android a principios de este mes junto con el anuncio del Samsung Galaxy Note9. Sin embargo, para aquellos que no lo saben, Fortnite Mobile para Android no está disponible para descargar a través de Google Play Store. En cambio, se distribuye a través del sitio web oficial de Epic Games, desarrollador y editor de Fortnite Mobile. Esto dio lugar a muchos debates y temores en torno a los posibles riesgos de seguridad, y ese temor resultó ser cierto, ya que el primer instalador de Fortnite para Android llegó con una falla de seguridad importante.

fornite-ios

Como Fortnite Mobile para Android no está disponible para descargar a través de Play Store, los usuarios deben descargar lo que se llama Fortnite Installer del sitio web oficial de Epic Games. Este instalador luego instala el juego en su teléfono inteligente Android. Sin embargo, un miembro del equipo de seguridad de Google descubrió una falla de seguridad importante en este instalador que podría permitir la instalación silenciosa de aplicaciones en dispositivos Android, incluso cuando la instalación desde fuentes desconocidas está prohibida.

La falla de seguridad hizo que el instalador fuera vulnerable al ataque Man-in-the-Disk que podría permitir que otras aplicaciones descarguen aplicaciones falsas o maliciosas en su teléfono inteligente Android sin que usted lo sepa. Sin embargo, para aprovechar esta vulnerabilidad, es necesario que ya tenga instalada una aplicación en su teléfono inteligente que pueda descargar aplicaciones falsas / maliciosas en su teléfono inteligente. Bueno, esto solo podría ser un problema para aquellos que descargan aplicaciones no tan legítimas de fuentes distintas a la Play Store de Google.

Esto es lo que dijo el ingeniero de Google al informar el problema:

"En los dispositivos Samsung, el instalador de Fortnite realiza la instalación del APK de forma silenciosa a través de una API privada de Galaxy Apps. Esta API comprueba que el APK que se está instalando tiene el nombre de paquete com.epicgames.fortnite. En consecuencia, el APK falso con un nombre de paquete coincidente se puede instalar de forma silenciosa.

Si el APK falso tiene una targetSdkVersion de 22 o menor, se le otorgarán todos los permisos que solicite en el momento de la instalación. Esta vulnerabilidad permite a una aplicación en el dispositivo secuestrar el instalador de Fortnite para instalar en su lugar un APK falso con cualquier permiso que normalmente requeriría la divulgación del usuario."

Por suerte, esta vulnerabilidad fue corregida por Epic Games en dos días de ser informado por Google mediante la implementación de un instalador de Fortnite parcheado con el número de versión 2.1.0. Si tiene Fortnite Installer 2.1.0 instalado en su teléfono inteligente, ya no tiene que preocuparse por esta vulnerabilidad, pero, si no lo hace, la mejor manera de mantenerse seguro es desinstalar Fortnite Installer y luego descargarlo nuevamente desde Sitio web de Epic Games.

Epic Games no ha revelado si esta vulnerabilidad fue explotada o no, pero el CEO de la compañía definitivamente no está contento con Google por revelar esta falla de seguridad públicamente dentro de los 90 días, que es el período de tiempo estándar para revelar un problema públicamente. Sin embargo, Google tiene una política de divulgar los problemas de seguridad públicamente después de siete días desde que se corrigieron.

Aquí está la declaración completa de Tim Sweeney, CEO de Epic Games:

"Epic realmente apreció el esfuerzo de Google para realizar una auditoría de seguridad en profundidad de Fortnite inmediatamente después de nuestro lanzamiento en Android, y compartir los resultados con Epic para que podamos emitir rápidamente una actualización para corregir la falla que descubrieron.

Sin embargo, fue una irresponsabilidad de Google revelar públicamente los detalles técnicos de la falla tan rápidamente, mientras que muchas instalaciones aún no se habían actualizado y seguían siendo vulnerables.

Un ingeniero de seguridad de Epic, a petición mía, solicitó a Google que retrasara la divulgación pública durante los típicos 90 días para dar tiempo a que la actualización se instale de manera más amplia. Google se negó. Puede leerlo todo en https://issuetracker.google.com/issues/112630336

Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android; sin embargo, una empresa tan poderosa como Google debería practicar un tiempo de divulgación más responsable que este, y no poner en peligro a los usuarios en el curso de sus esfuerzos de contrarrepúblicas contra la distribución de Epic de Fortnite fuera de Google Play. ."

Leer también: Esta es la razón por la que Fortnite Mobile para Android no está disponible para descargar a través de Google Play Store

Bueno, no hubiéramos tenido este tipo de problemas con los que lidiar en primer lugar si Epic Games hubiera decidido distribuir el juego a través de Google Play Store en lugar de su propio sitio web. Dicho esto, Epic Games realmente merecen una palmada en la espalda por solucionar esta vulnerabilidad dentro de los dos días posteriores a la notificación de Google.

Fuente | Vía

Síganos en Google News

Obtenga actualizaciones tecnológicas en Telegram

ARTÍCULOS RELACIONADOS:

LG F240K con pantalla Full-HD y S4 Pro de 1,5 GHz en los resultados de referencia

LG F240K con pantalla Full-HD y S4 Pro de 1,5 GHz en los resultados de referencia

Parece que el año 2013 va a pertenecer a los smartphones Full HD. Ya tenemos el HTC Droid DNA en ...
Las imágenes del Samsung Galaxy S8 con cámara dual vuelven a aparecer

Las imágenes del Samsung Galaxy S8 con cámara dual vuelven a aparecer

En este momento, el dispositivo Samsung con más probabilidades de contar con una cámara dual es el próximo Galaxy Note ...
Xiaomi puede lanzar el Mi Note 2 en agosto

Xiaomi puede lanzar el Mi Note 2 en agosto

Con el Redmi Note Pro programado para ser lanzado el 27 de julio, Xiaomi pronto podría lanzar también el Mi ...
HTC Desire 10 Lifestyle y Desire 10 Pro presentados

HTC Desire 10 Lifestyle y Desire 10 Pro presentados

Como se esperaba, HTC presentó hoy dos nuevos teléfonos inteligentes: Desire 10 Lifestyle y Desire 10 Pro. El Desire 10 ...
Cómo verificar si su PC está ejecutando la última versión de Windows 10

Cómo verificar si su PC está ejecutando la última versión de Windows 10

¿Se pregunta si la PC con Windows tiene un software antiguo de Windows? ¿Quiere comprobar si su PC está ejecutando ...
La compilación de Windows Phone 8 'Apollo' aparece en una aplicación de estadísticas

La compilación de Windows Phone 8 ‘Apollo’ aparece en una aplicación de estadísticas

En los últimos días, hemos visto referencias a las pruebas en curso del sistema operativo Windows Phone 8 en un ...