Le premier programme d'installation de Epic a permis aux pirates de télécharger et d'installer n'importe quoi sur votre téléphone Android en silence

Google vient de révéler publiquement qu'il avait découvert une vulnérabilité extrêmement grave dans le premier programme d'installation Fortnite pour Android d'Apic, qui permettait à n'importe quelle application sur votre téléphone de télécharger et d'installer n'importe quoi en arrière-plan, y compris des applications avec des autorisations complètes accordées, à l'insu de l'utilisateur. L'équipe de sécurité de Google a tout d'abord révélé la vulnérabilité à Epic Games de manière privée le 15 août. Depuis, cette information a été rendue publique après que Epic eut confirmé que la vulnérabilité avait été corrigée.

En bref, c’était exactement le genre d’exploitation qu’Android Central et d’autres craignaient avec ce type de système d’installation. Voici ce que vous devez savoir sur la vulnérabilité et comment vous assurer de rester en sécurité.

Quelle est la vulnérabilité et pourquoi est-ce si grave?

Lorsque vous téléchargez "Fortnite", vous ne téléchargez pas tout le jeu, vous téléchargez d'abord le programme d'installation Fortnite. Le programme d'installation Fortnite est une application simple que vous téléchargez et installez, qui télécharge ensuite le jeu complet Fortnite directement à partir d'Epic.

Le programme d'installation Fortnite était facilement exploitable pour détourner la demande de téléchargement du jeu complet.

Le problème, comme l’a découvert l’équipe de sécurité de Google, était que le programme d’installation Fortnite était très facilement exploitable pour pirater la demande de téléchargement de Fortnite à partir d’Epic et tout simplement pour télécharger quoi que ce soit lorsque vous appuyez sur le bouton pour télécharger le jeu. C'est ce qu'on appelle une attaque "man-in-the-disk": une application sur votre téléphone recherche les demandes de téléchargement de quelque chose à partir d'Internet et intercepte cette demande de téléchargement de quelque chose d'autre, à l'insu de l'application de téléchargement d'origine. Cela est possible uniquement parce que le programme d'installation Fortnite a été conçu de manière incorrecte - le programme d'installation Fortnite n'a aucune idée du fait qu'il a simplement facilité le téléchargement du logiciel malveillant et que, si vous appuyez sur "lancer", vous lancez même le logiciel malveillant.

Pour pouvoir être exploité, vous devez installer sur votre téléphone une application recherchant une telle vulnérabilité. Toutefois, compte tenu de la popularité de Fortnite et de l'anticipation de sa sortie, il est fort probable qu'il existe des applications peu recommandables sur le marché. faisant juste cela. Souvent, les applications malveillantes installées sur les téléphones n’ont pas un exploit, elles ont toute une charge utile contenant de nombreuses vulnérabilités à tester, et ce type d’attaque pourrait en être l’une.

D'un simple toucher, vous pouvez télécharger une application malveillante disposant de toutes les autorisations et de l'accès à toutes les données de votre téléphone.

Voici où les choses vont vraiment mal. En raison du fonctionnement du modèle d'autorisations d'Android, vous ne serez pas obligé d'accepter l'installation d'une application à partir de "sources inconnues" au-delà du moment où vous avez accepté cette installation pour Fortnite. En raison du fonctionnement de cet exploit, rien au cours du processus d'installation n'indique que vous téléchargez autre chose que Fortnite (et Fortnite Installer ne le sait pas non plus), alors qu'une application totalement différente est en cours d'installation en cours d'installation. Tout cela se produit dans le flux prévu d'installation de l'application à partir du programme d'installation Fortnite - vous acceptez l'installation, car vous pensez installer le jeu. Sur les téléphones Samsung qui obtiennent l'application de Galaxy Apps, en particulier, les choses sont un peu pires: il n'y a même pas de première invite à autoriser à partir de "sources inconnues" car Galaxy Apps est une source connue. Pour aller plus loin, cette application qui vient d'être installée en mode silencieux peut déclarer et se voir accorder toutes les autorisations possibles sans votre consentement supplémentaire. Peu importe que vous ayez un téléphone avec Android Lollipop ou Android Pie, ou que vous désactiviez les "sources inconnues" après avoir installé le programme d'installation Fortnite - dès que vous l'avez installé, vous pouvez potentiellement être attaqué.

La page de suivi des problèmes de Google pour l'exploit comporte un enregistrement d'écran rapide qui montre à quel point un utilisateur peut facilement télécharger et installer Fortnite Installer, dans ce cas-ci depuis le Galaxy Apps Store, et pense télécharger Fortnite en téléchargeant et en installant un programme malveillant. app, avec autorisations complètes - caméra, emplacement, microphone, SMS, stockage et téléphone - appelée "Fortnite". Cela prend quelques secondes et aucune interaction de l'utilisateur.

Oui, c'est un très mauvais.

Comment vous assurer que vous êtes en sécurité

Heureusement, Epic a agi rapidement pour réparer l'exploit. Selon Epic, l'exploit a été corrigé moins de 48 heures après avoir été notifié et a été déployé sur tous les programmes d'installation Fortnite déjà installés. Les utilisateurs doivent simplement mettre à jour le programme d'installation, ce qui est une affaire à un clic. Le programme d'installation Fortnite qui a apporté le correctif est la version 2.1.0, que vous pouvez vérifier en lançant le programme d'installation Fortnite et en accédant à ses paramètres. Si pour une raison quelconque vous deviez télécharger une version antérieure de Fortnite Installer, il vous sera demandé d'installer 2.1.0 (ou une version ultérieure) avant d'installer Fortnite.

Si vous avez la version 2.1.0 ou ultérieure, vous êtes à l'abri de cette vulnérabilité particulière.

Epic Games n'a pas publié d'informations sur cette vulnérabilité en dehors de la confirmation de sa correction dans la version 2.1.0 du programme d'installation. Nous ne savons donc pas si elle a été activement exploitée dans la nature. Si votre programme d'installation Fortnite est à jour, mais que vous craignez toujours d'être touché par cette vulnérabilité, vous pouvez désinstaller Fortnite et le programme d'installation Fortnite, puis effectuer de nouveau le processus d'installation pour vous assurer que votre installation Fortnite est légitime. Vous pouvez (et devriez) également exécuter une analyse avec Google Play Protect afin d'identifier, le cas échéant, tout programme malveillant s'il était installé.

Un porte-parole de Google a commenté la situation de la manière suivante:

La sécurité des utilisateurs est notre priorité absolue. Dans le cadre de notre surveillance proactive des logiciels malveillants, nous avons identifié une vulnérabilité dans le programme d'installation de Fortnite. Nous avons immédiatement averti Epic Games et ils ont résolu le problème.

Epic Games a fourni le commentaire suivant de Tim Sweeney, PDG:

Epic a véritablement apprécié les efforts de Google pour réaliser un audit de sécurité approfondi de Fortnite immédiatement après notre publication sur Android, et partager les résultats avec Epic afin que nous puissions rapidement publier une mise à jour pour corriger la faille découverte.

Cependant, il était irresponsable de Google de divulguer publiquement les détails techniques de la faille aussi rapidement, alors que de nombreuses installations n'avaient pas encore été mises à jour et étaient toujours vulnérables.

À ma demande, un ingénieur en sécurité Epic a demandé à Google de retarder la divulgation publique des 90 jours habituels afin de permettre à la mise à jour d'être installée plus largement. Google a refusé. Vous pouvez tout lire à l'adresse

Les efforts de Google en matière d'analyse de la sécurité sont appréciés et profitent à la plate-forme Android. Cependant, une société aussi puissante que Google devrait pratiquer un calendrier de divulgation plus responsable que cela, et ne pas mettre en danger les utilisateurs dans le cadre de ses efforts de lutte contre les relations publiques contre la distribution de Fortnite par Epic en dehors de Google Play.

Bien que Google ait peut-être plongé le requin dans l'esprit d'Epic, cette démarche est clairement conforme à la politique de Google en matière de divulgation des vulnérabilités 0day.

Ce que nous avons appris de ce processus

Je répète ce qui se dit sur Android Central depuis des années: il est extrêmement important d'installer uniquement les applications des entreprises et des développeurs en qui vous avez confiance. Cet exploit, pour aussi mauvais qu'il soit, nécessite toujours que le programme d'installation Fortnite soit installé et une autre application malveillante qui demande le téléchargement de logiciels malveillants plus dommageables. Avec l'énorme popularité de Fortnite, il est fort possible que ces cercles se chevauchent, mais cela ne doit pas vous arriver.

C’est exactement le type de vulnérabilité qui nous préoccupait et c’est ce qui s’est passé le premier jour.

Dès le début, une de nos préoccupations concernant la décision d'installer Fortnite en dehors du Play Store était que la popularité du jeu l'emporterait sur le bon sens général des gens de rester dans le Play Store pour leurs applications. C’est le genre de vulnérabilité qui risquerait fort d’être détectée lors du processus d’examen du Play Store, et qui serait corrigée avant le téléchargement par un grand nombre de personnes. De plus, avec Google Play Protect sur votre téléphone, Google pourrait supprimer et désinstaller l’application à distance si elle se présentait à l’état sauvage.

De son côté, Google a quand même réussi à attraper cette vulnérabilité même si l'application n'est pas distribuée via le Play Store. Nous savons déjà que Google Play Protect est capable d'analyser les applications de votre téléphone même si elles ont été installées directement à partir du Web ou d'un autre magasin d'applications. Dans ce cas, le processus a été sauvegardé par une équipe de sécurité talentueuse de Google qui a détecté la vulnérabilité et l'a signalée. au développeur. Ce processus se déroule généralement en arrière-plan, sans grande fanfare, mais lorsque nous parlons d'une application comme Fortnite avec probablement des dizaines de millions d'installations, cela montre à quel point Google prend au sérieux la sécurité dans Android.

Mise à jour: Cet article a été mis à jour avec des informations clarifiées sur l'exploit, ainsi qu'un commentaire du PDG d'Epic Games, Tim Sweeney.