Redaksjonen var en av de som sperret opp øynene da Epic Games annonserte at Fortnite ikke ville bli å finne i Google Play Store.
Trolig ble få eller ingen lurt
I stedet for må spillet installeres med en installasjonspakke (.apk) som lastes ned fra epicgames.com. Nå er det avslørt av Google at det er en potensiell alvorlig sikkerhetsblemme i hvordan Fortnite lastes ned og installeres på Android-enheter.
Problemet er at en såkalt WRITE_EXTERNAL_STORAGE-tilgang kan bytte ut den ekte apk-filen rett etter nedlastingen er ferdig og verifiseringen er gjort. Det store problemet med dette er med andre ord at en falsk apk-fil kan installeres, og det kan jo være hva som helst: fra skadevare til full netttilgang til mobilen over nettet uten at brukeren er klar over det.
Annonse
Svært svak sikkerhet
Og Samsung-enheter er ikke sikrere bare fordi man kan laste ned fra Galaxy Apps-appbutikken: problemet er at API-et der kun undersøker at apk-filen heter com.epicgames.fortnite. Man behøver ikke være en genierklært hacker for å skjønne at man da bare døper opp den falske filen til det offisielle navnet som ledd i hackingen.
Et annet problem, som om ikke dette er nok, er at en falsk apk-fil med targetsdkversion nivå 22 eller lavere, vil få alle tilganger som bes om under installasjon, så lenge navnet er com.epicgames.fortnite.
Heldigvis løst
Epic Games løste problemet etter at Google varslet dem ved å bruke det private lagringsområdet på Android i stedet for det eksterne. Spillselskapet ba Google om å holde tilbake informasjonen i 90 dager, men Google nektet og pekte på sin egen praksis i slike situasjoner.
Epics Tim Sweeney, som gjorde sin del for å hype opp fordelene av å løsrive seg fra Google Play Store i forkant av Fortnite-lanseringen, har dette å si om brøleren:
“Epic setter stor pris på Googles innsats for å utføre en grundig sikkerhetsrevisjon av Fortnite umiddelbart etter utgivelsen vår på Android, for så å dele resultatene med Epic, slik at vi raskt kunne fikse en oppdatering for å rette feilen de oppdaget”.
Men Sweeney er også irritert på Google: “Det var likevel uansvarlig for Google å offentliggjøre de tekniske detaljene i feilen så raskt, mens mange installasjoner ikke var oppdatert og fortsatt var sårbare.”
Vi mener
Mange av oss vil kanskje mene at det er Epic Games som er uansvarlige sett at de nekter å være tilstede på Google Play Store og i stedet tok betalt av Samsung for å servere spillet på Galaxy Apps.
Det viste seg jo heller ikke å være sikkert. Mange av oss så disse problemene komme. Heldigvis ble trolig ingen hacket denne gang.
Kilde:
Fornite
Annonse
