Autoři hry Fortnite se na Androidu odhodlali k vlastnímu systému distribuce mimo Google Play. S Googlem se totiž nechtěli dělit o 30procentní provizi, nicméně právě touha za vyšším ziskem vystavila desítky milionů hráčů po celém světě velkému bezpečnostnímu riziku. Chybu paradoxně objevil přímo jeden ze zaměstnanců Googlu.
Právě kvůli této kritické bezpečnostní chybě bylo možné po potvrzení instalace do telefonu nahrát libovolnou jinou aplikaci se všemi potřebnými oprávněními. V případě zneužití byste si tak do telefonu snadno mohli nainstalovat nějaký malware nebo nástroj, skrze který by pak útočník převzal kontrolu nad vaším smartphonem.
Mohl to být obrovský průšvih
Dalším paradoxem je, že nejvíce ohroženi byli majitelé telefonů od Samsungu, kteří měli na hru několikadenní exkluzivitu. Samsung instalátor distribuoval skrze obchod Galaxy Apps, který se chová jako ověřený zdroj. I přes něj by si teoreticky mohli uživatelé do telefonu pustit škodlivý kód.
V reálu naštěstí k žádnému ohrožení uživatelů nedošlo, jelikož se na tuto chybu přišlo poměrně rychle a vývojáři z Epic Games během dvou dnů od objevení vydali opravnou verzi instalátoru (2.1.0), se kterou již podobný problém nehrozí.
Přehled smartphonů, které byly v ohrožení
- Samsung Galaxy S7, S7 edge, S8, S8+, S9, S9+, Note 8, Note 9, tablety Tab S3 a Tab S4
- Xiaomi Blackshark, Mi 5, 5S, 5S Plus, 6, 6 Plus, Mi 8, 8 Explorer, 8SE, Mi Mix, Mi Mix 2, Mi Mix 2S a Mi Note 2
- Huawei Mate 10, Mate 10 Pro, Mate RS, P20 a P20 Pro
- ZTE Axon 7, 7s, Axon M, Nubia Z17, Z17s a Nubia Z11
- Asus ROG Phone, Zenfone 4 Pro, Zenfone 5 a 5Z
- Google Pixel, Pixel XL, Pixel 2 a Pixel 2 XL
- LG G5, G6, G7 ThinQ, V20, V30 a V30+
- Honor 10, Honor Play a Nova 3
- OnePlus 5, 5T a 6
- Essential PH-1
- Razer Phone
- Nokia 8
Google malware umí odhalit
Pokud se chcete ujistit, že ve vašem smartphonu nemůže dojít ke zneužití, doporučujeme hru odinstalovat a smazat také samotný instalátor. Poté si z webu Epic Games nebo z Galaxy Apps (pouze majitelé kompatibilních Samsung telefonů) stáhněte aktuální instalátor a proveďte opětovnou instalaci. Na škodu rovněž nebude otestování telefonu skrze službu Google Play Protect.
Na chybu upozornil zaměstnanec Googlu, čímž paradoxně hráče vystavil nebezpečí
A jak se na vše přišlo? Na Google Issue Tracker se objevil příspěvek od jednoho ze zaměstnanců Googlu, který na bezpečnostní chybu v instalátoru upozornil. Autor k tématu připojil i video, ve kterém napadení telefonu přímo demonstruje:
https://www.youtube.com/watch?v=Dxksu8ieKI4
Zaměstnanec Googlu sice Epic upozornil a jakmile vývojáři vydali opravenou verzi, informace o chybě veřejně zveřejnil na internet. Google zároveň do světa vyslal poměrně jasnou zprávu, ve které upozorňuje na to, že ti, kteří hrají podle pravidel obchodu Play, mohou počítat s ochranou. Distribuce mimo obchod Play je u Googlu považována za nebezpečnou, jelikož může dojít k přímému ohrožení bezpečnosti uživatele, stejně jako tomu bylo v případě instalátoru hry Fortnite.
Pozitivní alespoň je, že k žádnému reálnému zneužití chyby nedošlo a že i když Epic Games hru nedistribuuje skrze obchod Play, Google samotný se aktivně zapojil do boje proti této chybě a v rámci ochrany Play Protect škodlivý kód aktivně detekuje.
