El primer instalador de Fortnite vino con una falla de seguridad que permitía la instalación silenciosa de cualquier cosa en su teléfono inteligente Android

Después de muchos rumores, Fortnite Mobile finalmente hizo su debut en Android a principios de este mes junto con el anuncio del Samsung Galaxy Note9. Sin embargo, para aquellos que no lo saben, Fortnite Mobile para Android no está disponible para descargar a través de Google Play Store. En cambio, se distribuye a través del sitio web oficial de Epic Games, desarrollador y editor de Fortnite Mobile. Esto dio lugar a muchos debates y temores en torno a los posibles riesgos de seguridad, y ese temor resultó ser cierto, ya que el primer instalador de Fortnite para Android llegó con una falla de seguridad importante.

fornite-ios

Como Fortnite Mobile para Android no está disponible para descargar a través de Play Store, los usuarios deben descargar lo que se llama Fortnite Installer del sitio web oficial de Epic Games. Este instalador luego instala el juego en su teléfono inteligente Android. Sin embargo, un miembro del equipo de seguridad de Google descubrió una falla de seguridad importante en este instalador que podría permitir la instalación silenciosa de aplicaciones en dispositivos Android, incluso cuando la instalación desde fuentes desconocidas está prohibida.

La falla de seguridad hizo que el instalador fuera vulnerable al ataque Man-in-the-Disk que podría permitir que otras aplicaciones descarguen aplicaciones falsas o maliciosas en su teléfono inteligente Android sin que usted lo sepa. Sin embargo, para aprovechar esta vulnerabilidad, es necesario que ya tenga instalada una aplicación en su teléfono inteligente que pueda descargar aplicaciones falsas / maliciosas en su teléfono inteligente. Bueno, esto solo podría ser un problema para aquellos que descargan aplicaciones no tan legítimas de fuentes distintas a la Play Store de Google.

Esto es lo que dijo el ingeniero de Google al informar el problema:

"En los dispositivos Samsung, el instalador de Fortnite realiza la instalación del APK de forma silenciosa a través de una API privada de Galaxy Apps. Esta API comprueba que el APK que se está instalando tiene el nombre de paquete com.epicgames.fortnite. En consecuencia, el APK falso con un nombre de paquete coincidente se puede instalar de forma silenciosa.

Si el APK falso tiene una targetSdkVersion de 22 o menor, se le otorgarán todos los permisos que solicite en el momento de la instalación. Esta vulnerabilidad permite a una aplicación en el dispositivo secuestrar el instalador de Fortnite para instalar en su lugar un APK falso con cualquier permiso que normalmente requeriría la divulgación del usuario."

Por suerte, esta vulnerabilidad fue corregida por Epic Games en dos días de ser informado por Google mediante la implementación de un instalador de Fortnite parcheado con el número de versión 2.1.0. Si tiene Fortnite Installer 2.1.0 instalado en su teléfono inteligente, ya no tiene que preocuparse por esta vulnerabilidad, pero, si no lo hace, la mejor manera de mantenerse seguro es desinstalar Fortnite Installer y luego descargarlo nuevamente desde Sitio web de Epic Games.

Epic Games no ha revelado si esta vulnerabilidad fue explotada o no, pero el CEO de la compañía definitivamente no está contento con Google por revelar esta falla de seguridad públicamente dentro de los 90 días, que es el período de tiempo estándar para revelar un problema públicamente. Sin embargo, Google tiene una política de divulgar los problemas de seguridad públicamente después de siete días desde que se corrigieron.

Aquí está la declaración completa de Tim Sweeney, CEO de Epic Games:

"Epic realmente apreció el esfuerzo de Google para realizar una auditoría de seguridad en profundidad de Fortnite inmediatamente después de nuestro lanzamiento en Android, y compartir los resultados con Epic para que podamos emitir rápidamente una actualización para corregir la falla que descubrieron.

Sin embargo, fue una irresponsabilidad de Google revelar públicamente los detalles técnicos de la falla tan rápidamente, mientras que muchas instalaciones aún no se habían actualizado y seguían siendo vulnerables.

Un ingeniero de seguridad de Epic, a petición mía, solicitó a Google que retrasara la divulgación pública durante los típicos 90 días para dar tiempo a que la actualización se instale de manera más amplia. Google se negó. Puede leerlo todo en https://issuetracker.google.com/issues/112630336

Los esfuerzos de análisis de seguridad de Google son apreciados y benefician a la plataforma Android; sin embargo, una empresa tan poderosa como Google debería practicar un tiempo de divulgación más responsable que este, y no poner en peligro a los usuarios en el curso de sus esfuerzos de contrarrepúblicas contra la distribución de Epic de Fortnite fuera de Google Play. ."

Leer también: Esta es la razón por la que Fortnite Mobile para Android no está disponible para descargar a través de Google Play Store

Bueno, no hubiéramos tenido este tipo de problemas con los que lidiar en primer lugar si Epic Games hubiera decidido distribuir el juego a través de Google Play Store en lugar de su propio sitio web. Dicho esto, Epic Games realmente merecen una palmada en la espalda por solucionar esta vulnerabilidad dentro de los dos días posteriores a la notificación de Google.

Fuente | Vía

Síganos en Google News

Obtenga actualizaciones tecnológicas en Telegram

ARTÍCULOS RELACIONADOS:

El precio del Hotspot 4G de Airtel se redujo drásticamente a ₹ 999

El precio del Hotspot 4G de Airtel se redujo drásticamente a ₹ 999

Los operadores de telecomunicaciones han estado elaborando nuevos planes y están revisando los existentes para contrarrestar a Reliance Jio. La ...
Cómo enviar mensajes vacíos en WhatsApp [Guide]

Cómo enviar mensajes vacíos en WhatsApp [Guide]

Antes de pensar y comentar esta guía, sepa que enviar mensajes en blanco en WhatsApp no ​​se logra agregando un ...
Nokia Lumia 920 y 820 ahora posan con auriculares Luna Bluetooth

Nokia Lumia 920 y 820 ahora posan con auriculares Luna Bluetooth

¡Y las fugas están en racha! Después de ver las especificaciones del Nokia Lumia 920 y Lumia 820, vimos que ...
Aquí hay una lista de dispositivos Samsung que recibirán la actualización de Android 7.0 Nougat

Aquí hay una lista de dispositivos Samsung que recibirán la actualización de Android 7.0 Nougat

Samsung recientemente comenzó a implementar la actualización de Android 7.0 Nougat para el Galaxy S7 y el Galaxy S7 edge ...
XOLO Black con pantalla Full HD de 5.5 pulgadas y cámara trasera doble lanzada para Rs.  12999

XOLO Black con pantalla Full HD de 5.5 pulgadas y cámara trasera doble lanzada para Rs. 12999

Días después de que Xolo anunciara su submarca Black, la compañía lanzó el primer teléfono: el Xolo Black.Xolo ha anunciado ...
Olive presenta QWERTY Triple Sim Mobile Wiz V-GC800

Olive presenta QWERTY Triple Sim Mobile Wiz V-GC800

Olive Mobile ha lanzado el primer teléfono QWERTY triple SIM de la India.Este nuevo teléfono tiene una ranura 2GSM + ...