Domů » Články » Instalátor hry Fortnite obsahoval bezpečnostní chybu. Ta umožňovala převzít kontrolu nad zařízením

Instalátor hry Fortnite obsahoval bezpečnostní chybu. Ta umožňovala převzít kontrolu nad zařízením

Autoři hry Fortnite se na Androidu odhodlali k vlastnímu systému distribuce mimo Google Play. S Googlem se totiž nechtěli dělit o 30procentní provizi, nicméně právě touha za vyšším ziskem vystavila desítky milionů hráčů po celém světě velkému bezpečnostnímu riziku. Chybu paradoxně objevil přímo jeden ze zaměstnanců Googlu.

Fortnite Android

Právě kvůli této kritické bezpečnostní chybě bylo možné po potvrzení instalace do telefonu nahrát libovolnou jinou aplikaci se všemi potřebnými oprávněními. V případě zneužití byste si tak do telefonu snadno mohli nainstalovat nějaký malware nebo nástroj, skrze který by pak útočník převzal kontrolu nad vaším smartphonem.

Mohl to být obrovský průšvih

Dalším paradoxem je, že nejvíce ohroženi byli majitelé telefonů od Samsungu, kteří měli na hru několikadenní exkluzivitu. Samsung instalátor distribuoval skrze obchod Galaxy Apps, který se chová jako ověřený zdroj. I přes něj by si teoreticky mohli uživatelé do telefonu pustit škodlivý kód.

V reálu naštěstí k žádnému ohrožení uživatelů nedošlo, jelikož se na tuto chybu přišlo poměrně rychle a vývojáři z Epic Games během dvou dnů od objevení vydali opravnou verzi instalátoru (2.1.0), se kterou již podobný problém nehrozí.

Přehled smartphonů, které byly v ohrožení

  • Samsung Galaxy S7, S7 edge, S8, S8+, S9, S9+, Note 8, Note 9, tablety Tab S3 a Tab S4
  • Xiaomi Blackshark, Mi 5, 5S, 5S Plus, 6, 6 Plus, Mi 8, 8 Explorer, 8SE, Mi Mix, Mi Mix 2, Mi Mix 2S a Mi Note 2
  • Huawei Mate 10, Mate 10 Pro, Mate RS, P20 a P20 Pro
  • ZTE Axon 7, 7s, Axon M, Nubia Z17, Z17s a Nubia Z11
  • Asus ROG Phone, Zenfone 4 Pro, Zenfone 5 a 5Z
  • Google Pixel, Pixel XL, Pixel 2 a Pixel 2 XL
  • LG G5, G6, G7 ThinQ, V20, V30 a V30+
  • Honor 10, Honor Play a Nova 3
  • OnePlus 5, 5T a 6
  • Essential PH-1
  • Razer Phone
  • Nokia 8

Google malware umí odhalit

Pokud se chcete ujistit, že ve vašem smartphonu nemůže dojít ke zneužití, doporučujeme hru odinstalovat a smazat také samotný instalátor. Poté si z webu Epic Games nebo z Galaxy Apps (pouze majitelé kompatibilních Samsung telefonů) stáhněte aktuální instalátor a proveďte opětovnou instalaci. Na škodu rovněž nebude otestování telefonu skrze službu Google Play Protect.

Na chybu upozornil zaměstnanec Googlu, čímž paradoxně hráče vystavil nebezpečí

A jak se na vše přišlo? Na Google Issue Tracker se objevil příspěvek od jednoho ze zaměstnanců Googlu, který na bezpečnostní chybu v instalátoru upozornil. Autor k tématu připojil i video, ve kterém napadení telefonu přímo demonstruje:

Zaměstnanec Googlu sice Epic upozornil a jakmile vývojáři vydali opravenou verzi, informace o chybě veřejně zveřejnil na internet. Google zároveň do světa vyslal poměrně jasnou zprávu, ve které upozorňuje na to, že ti, kteří hrají podle pravidel obchodu Play, mohou počítat s ochranou. Distribuce mimo obchod Play je u Googlu považována za nebezpečnou, jelikož může dojít k přímému ohrožení bezpečnosti uživatele, stejně jako tomu bylo v případě instalátoru hry Fortnite.

Pozitivní alespoň je, že k žádnému reálnému zneužití chyby nedošlo a že i když Epic Games hru nedistribuuje skrze obchod Play, Google samotný se aktivně zapojil do boje proti této chybě a v rámci ochrany Play Protect škodlivý kód aktivně detekuje.

Jiří Hrma

Zakladatel a šéfredaktor SMARTmania.cz, fanoušek moderních technologií a chytrých zařízení, milovník elektronické hudby a vyznavač extrémních sportů. Máte zájem o spolupráci? Ozvěte se na redakce@smartmania.cz.

18 komentářů

  1. Ištván (neregistrovaný)

    tak to je dost masakr. 30 % je dost, ale zase chápu vývojáře, že se o tolik peněž nechtějí připravit. ale tohle si rozhodně měli lépe podchytit.

  2. Lazzy (neregistrovaný)

    Tohle mohl bejt slusnej pruser. Epic si chteli nahrabat a Google se jim zase lehce pomstit, tak to zverejnili verejne hned :-D miliony dolaru proste delaj svoje. Btw hrajete to nekdo? Ja to zkousel asi den, ale moc me to nebavilo teda na mobilu hrat.

    • Hm, tohle chovani se mi prave na Googlu zrovna moc nelíbí, ale couž.
      Na mobilu se takové věci nehrají moc komfortně. :D

      • Tak s připojeným např. PS4 ovladačem jsi v podstatě na konzoloidním UX („Switch“). Co je spíše strašné je koukat na hraní FPS bez klasického HID (klávesnice, myš), z posledních např. gameplay Cyberpunku 2077, z toho jsem tekl, než se to někam rozhlédlo…. Ale tak dobře, je to prezentace hry, al uf uf uf:)

    • zipiik (neregistrovaný)

      On tne příběh je torchu jinak. Google objevil chybu 15.8. a předal ji Epicu a celou záležitost zveřejnil až po tom, co Epic vydal patch: „Google’s security team first disclosed the vulnerability privately to Epic Games on August 15, and has since released the information publicly following confirmation from Epic that the vulnerability was patched.“
      https://www.androidcentral.com/epic-games-first-fortnite-installer-allowed-hackers-download-install-silently

      • zipiik: díky za doplnění, nepřesnost ohledně předčasného zveřejnění kódu zaměstnancem Googlu jsem v článku opravil. V době psaní textu jsem tuhle informaci neměl k dispozici.

  3. To je dost zajímavý postoj Google, že instalace mimo jejich Play je apriori bezpečnostní riziko. Při ohledu na miliardy uživatelů, kteří Play ani nemají v zařízení….. ccc. Android odhalen na kost:)

    • zipiik (neregistrovaný)

      Překvapivě je instalace z neznámých zdrojů bezpečnostní riziko – na Windows, MacOS, Linuxu, Androidu i jailbreknutém iOS.

      • Ale tak např. Amazon nebo adekvátní Store v Číně/Indii atd. snad není neznámý zdroj….

      • zipiik (neregistrovaný)

        Pro Google to neznámý zdroj je a nemůže za něj ručit. Pokud se uživatel rozhodne, že pro něj je to důvěryhodný zdroj, může si aplikaci na vlastní riziko nainstalovat. To není žádná novinka, při povolení instalace z cizích zdrojů na nebezpečí varuje Android s Google Service už drahně let.

      • zipiik (neregistrovaný):Ale houby, dané distribuční kanály jsou výrobcem nastavené jako defaultní:) Jak říkám, tady se Google set setsakra sekl a ukazuje to na bídný stav platformy, resp. bordel.

      • zipiik (neregistrovaný)

        Výrobcem čeho? Androidu? Asi těžko. Zařízení s předinstalovaným alternativním store? OK, ať za to ručí výrobce zařízení nebo provozovatel store. Ty máš zas den…a to je teprve úterý, co se dočtem v pátek?

  4. SLOVovca (neregistrovaný)

    1. Zaměstnanec Googlu je pěkný trouba, když chybu zveřejnil a dovolil aby miliony uživatelů GOOGLE Androidu byli napadeni
    2. ‚I přes něj by si teoreticky mohli uživatelé do telefonu pustit škodlivý kód.“

    Takže se nic nestalo, takže to je jen velká bublina.

    Hezký den.

    • Skylark (neregistrovaný)

      Jj, Android je samozřejmě nejbezpečnější systém na světě a všechny bezpečnostní průsery jsou vlastně v pořádku. Abych nezapomněl.. Nejlepší a nejrychlejší..

    • zipiik (neregistrovaný)

      SLOVovca: Zaměstanaec trouba není, Google problém zveřejnil až po vydání updatu. Ano, Google nedodržel 90 denní lhůtu, ale asi tušíme, proč…

      Skylark: Tohle není bezpečnostní průser Androidu, ale Epicu, který měl bezpečnostní díru v kódu, kterým obchází Play Store. Android před instalací z neznámých zdrojů uživatele varuje, ale je to otevřenější systém než iOS nebo W10M, takže instalaci uživateli povolí s tím, že kdo chce kam, pomožme mu tam. Jestli je Android nejbezpečnější, nejrychlejší a nejlepší nevím, ale tahle kauza není důkaz pro ani proti ani jednomu nej…možná je nejotevřenější ze současných mobilních systémů.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *