La aplicación de Fortnite para Android es vulnerable a los ataques Man-in-the-Disk

La aplicación de Fortnite para Android es vulnerable a los ataques Man-in-the-Disk

Los investigadores de seguridad de Google han revelado esta semana que la popular aplicación Fortnite para Android es vulnerable a los llamados ataques Man-in-the-Disk (MitD).

Esta vulnerabilidad permite que las aplicaciones maliciosas con pocos privilegios ya instaladas en el teléfono de los usuarios puedan secuestrar el proceso de instalación de la aplicación Fortnite e instalar otras aplicaciones maliciosas que tienen un nivel de permisos más alto.

Epic Games, el desarrollador de Fortnite, ha lanzado la versión 2.1.0 que parchea este vector de ataque.

Con un toque, puede descargar una aplicación maliciosa que tiene permisos completos y acceso a todos los datos en su teléfono

Aquí es donde las cosas se ponen realmente mal. Debido a la forma en que funciona el modelo de permisos de Android, no tendrás que aceptar la instalación de una aplicación de "fuentes desconocidas" más allá del momento en que aceptaste esa instalación para Fortnite.

Debido a la forma en que funciona este exploit, no hay ninguna indicación durante el proceso de instalación de que esté descargando nada que no sea Fortnite (y Fortnite Installer tampoco lo sabe), mientras que en el fondo se está instalando una aplicación completamente diferente.

Todo esto sucede dentro del flujo esperado de instalación de la aplicación desde el instalador de Fortnite: aceptas la instalación porque crees que estás instalando el juego.

En los teléfonos Samsung que obtienen la aplicación de Galaxy Apps, en particular, las cosas son un poco peores: ni siquiera hay un primer aviso para permitir desde "fuentes desconocidas" porque Galaxy Apps es una fuente conocida.

Yendo más allá, esa aplicación que acaba de instalarse silenciosamente puede declarar y recibir todos los permisos posibles sin su consentimiento adicional. No importa si tiene un teléfono con Android Lollipop o Android Pie, o si desactivaste "fuentes desconocidas" después de instalar el instalador de Fortnite: tan pronto como lo instale, podría ser atacado.

Demostración del ataque

Epic Games insatisfechos con el proceso de aviso de los investigadores de Google

Pero el proceso de divulgación de errores vino acompañado de controversia. El CEO de Epic Games, Tim Sweeney, acusó a Google de hacer la investigación publicada en venganza por no estar Fornite en Google Play.

"Le pedimos a Google que mantuviera la divulgación hasta que la actualización estuviera más ampliamente instalada. Se negaron, creando un riesgo innecesario para los usuarios de Android", dijo Sweeney en Twitter, refiriéndose a una de sus solicitudes de ingenieros a Google de detener la publicación durante 90 días para que los usuarios de Fortnite puedan actualizar sus aplicaciones.

Google rechazó la solicitud de Epic Games e hizo público el informe de errores esta semana, una semana después de que Epic Games lanzara su parche, haciendo que mucha gente creyera que esto era una recompensa después de que Epic Games no colgará su aplicación de Android en la Play Store. Todo esto para que el desarrollador (Epic Games) se quedará con el 100% de las ganancias de los juegos.

La medida fue criticada por muchos expertos en seguridad, que advirtieron sobre posibles fallos de seguridad que podrían pasar desapercibidas porque la aplicación no fue escaneada por el servicio Bouncer de Google antes de llegar a los dispositivos de los usuarios.

Más información: Google's Issue Tracker

Read more