> > > > Fortnite für Android: Geiz sorgt für massive Sicherheitslücke

Fortnite für Android: Geiz sorgt für massive Sicherheitslücke

Veröffentlicht am: von

fortniteMit der Entscheidung, Fortnite für Android nicht über Googles Play Store anzubieten, hat Epic die Diskussion über hohe Provisionen neu entfacht. Die verlangten 30 % seien zu viel für die erbrachte Leistung, so eines der Argumente. Doch im Nachhinein zeigt sich, dass Geiz sich schnell als falsche Motivation entpuppen kann: Denn im Fortnite-Installer lauerte eine massive Sicherheitslücke.

Eine bessere Beschreibung als self-fulfilling prophecy - eine selbsterfüllende Prophezeiung - dürfte es aus Sicht vieler Experten für die Entwicklung nicht geben. Denn letztlich ist genau das eingetreten, wovor Epic eindringlich gewarnt worden ist: Das Einschleusen einer Lücke durch den Zwang, Fortnite, bzw. den Fortnite-Installer als sogenannten Sideload zu installieren. Worin genau das Problem besteht, hat Google aufgedeckt und dokumentiert - was dem ganzen eine gewisse Ironie verleiht.

Wer Fortnite auf einem Android-Smartphone oder -Tablet spielen möchte, muss den Fortnite Installer (com.epicgames.portal) von der Epic-Homepage herunterladen und das Installieren von APKs aus unbekannten Quellen freigeben. Es folgt die Installation des Fortnite-Launchers, der dann letztlich die für das Spiel erforderlichen Daten (com.epicgames.fortnite) herunterlädt. Da Epic allerdings auf essentielle Sicherheitsfunktionen verzichtet hat, überprüft der Launcher nicht, ob er die korrekte APK herunterlädt - nur der Dateiname wird überprüft.

Ist auf dem Smartphone oder Tablet bereits ein Schädling vorhanden, der nach dem Start von Downloads außerhalb des Play Stores Ausschau hält, kann dieser den Befehl kompromittieren und auf ein eigenes Ziel umleiten; in diesem Fall möglicherweise auf eine APK mit dem Namen com.epicgames.fortnite. Laut Android Central kann das als klassische Man-in-the-Disk-Attacke bezeichnet werden.

Eine solche nutzt eine Schwachstelle in Android aus. Das Betriebssystem unterteilt den vorhandenen Massenspeicher in mehrere Bereiche, darunter den „internen" und „externen" Speicher; extern muss sich nicht zwangsläufig auf eine SD-Karte oder ähnliches beziehen. Üblicherweise wird der externe Speicher für Daten genutzt, die zwischen installierten Apps ausgetauscht oder von externen Geräten abgerufen werden sollen - beispielsweise Fotos. 

Allerdings wird eines der wichtigsten Android-Sicherheitsmerkmale somit ausgehebelt: Die sogenannte Sandbox kommt nur zum Einsatz, wenn die Daten im internen Speicher liegen. Dass das zum Problem werden kann, weiß auch Google und hat entsprechend Empfehlungen ausgesprochen, die im Umgang mit dem externen Speicher beachtet werden sollten. Die sehen unter anderem vor, dass Daten, die vom externen in den internen Speicher verschoben werden, zuvor überprüft werden sollen. Zudem sollten ausführbare Daten nicht im externen Speicher abgelegt werden. Wie Check Point herausgefunden hat, halten sich allerdings einige Entwickler nicht an diese Richtlinien - selbst Google soll die mit einigen Apps verletzen.

Problematisch wird diese Art der Attacke aber am Ende durch einen anderen Faktor. Denn da in diesem Fall der Installation von Fortnite bereits zugestimmt wurde, ist eine Freigabe für die gänzlich andere APK nicht mehr erforderlich. Schließlich geht Android davon aus, dass ganz im Sinne des Nutzers gehandelt wird. Und da Epic selbst keine entsprechende Schutzmaßnahmen eingebaut hat, entdeckt auch der Installer keinen Fehler. Massiv wird die Sicherheitslücke letztlich dadurch, dass sich die vom Schädling eingeschleuste Software jede gewünschte Freigabe erteilen kann - vom Zugriff auf Kontakte über die Standortbestimmung bis hin zum Starten von Telefonaten.

Eine Ausnahme stellen Samsung-Smartphones und -Tablets wie das Galaxy Note 9 dar. Hier kann Fortnite über den den eigenen App Store - Galaxy Apps - installiert werden. Das hat zwar auf die Schwere der Sicherheitslücke keinen Einfluss, wohl aber auf die Hürde. Denn während auf Geräten anderer Hersteller der zumindest aktiv den erstmaligen Sideload manuell ermöglich muss, entfällt dieser Schritt bei Samsung. Schließlich handelt es sich bei Galaxy Apps um keine unbekannte Quelle, die erst autorisiert werden muss.

Inzwischen hat Epic die Lücke aber geschlossen, ab Version 2.1.0 soll der Fehler nicht mehr vorhanden sein. Denn unmittelbar nach dem Hinweis durch Google habe man mit den Arbeiten an einer korrigierten Version des Launchers begonnen. Glücklich ist man über Google aber dennoch nicht. Es sei unverantwortlich gewesen, dass die Lücke so früh bekannt gemacht worden sei, so Epic. Man habe Google gebeten, sie erst nach 90 Tagen zu kommunizieren. Allerdings liegt zwischen dem Entdecken und der Veröffentlichung nur rund eine Woche - Epic wurde am 15. August informiert.

Social Links

Diesen Artikel bewerten:

Ø Bewertungen: 5

Tags

Kommentare (13)

Diskutiert das Thema in unserem Forum:
Fortnite für Android: Geiz sorgt für massive Sicherheitslücke

Das könnte Sie auch interessieren:

  • Erste Ray-Tracing-Benchmarks: Battlefield V mit DXR im Test (2. Update)

    Logo von IMAGES/STORIES/2017/BATTLEFIELDV

    Pünktlich zum morgigen offiziellen Start von Battlefield V haben EA und DICE einen Patch veröffentlicht, der auch die DXR-Funktionen aktiviert. Damit können die NVIDIA-Grafikkarten mit RTX-Unterstützung alias GeForce-RTX in den drei Modellen GeForce RTX 2070, GeForce RTX 2080 und GeForce RTX... [mehr]

  • GPU-Benchmarks zur finalen Version von Battlefield V

    Logo von IMAGES/STORIES/2017/BATTLEFIELDV

    Ab diesem Wochenende können Abonnenten des Origin Access Premier auf dem PC bereits Battlefield V spielen. Der Titel begleitet uns bereits seit dem Juni, denn schon zur Closed Alpha haben wir einige Benchmarks gemacht. Darauf folgte eine Open Beta mit neuen Erkenntnissen und auch einen... [mehr]

  • Open Beta von Battlefield V im GPU-Benchmark-Vergleich

    Logo von IMAGES/STORIES/2017/BATTLEFIELDV

    Nachdem wir uns bereits einige GPU-Benchmarks zur Closed Alpha von Battlefield V angeschaut haben, wollen wir dies auch für die Open Beta machen, die ab heute bis zum 11. September für Jedermann zur Verfügung steht. Nicht nur die Unterschiede der Hardware selbst wollen wir aufzeigen,... [mehr]

  • Diablo 3: Season 16 startet am Freitag

    Logo von IMAGES/STORIES/2017/DIABLO3_2

    Die 16. Saison von Diablo 3 steht in den Startlöchern und beginnt am 18. Januar 2019 pünktlich um 17:00 Uhr deutscher Zeit. Das geplante Ende der “Saison des Prunks” ist laut Blizzard der 17. März, ebenfalls um 17:00 Uhr. Dies kann sich aber nach Aussagen des US-amerikanischen... [mehr]

  • Quake 2 vollständig per Ray Tracing berechnet

    Logo von IMAGES/STORIES/2017/RAY-TRACING

    NVIDIA hat mit der RTX-Technik einen erneuten Vorstoß hin zu per Ray Tracing berechneten Grafikeffekten gemacht. Man kann zu den Hardwareanforderungen der Reflexionseffekte in Battlefield V eine eigene Meinung haben, die Optik aber setzt neue Maßstäbe. Alle weiteren Details zu Ray Tracing in... [mehr]

  • Metro: Exodus mit RTX und DLSS im Technik-Check

    Logo von IMAGES/STORIES/2017/METRO-EXODUS

    Heute ist es nun soweit und das erste Spiel mit der Unterstützung von RTX und DLSS startet. Auf die spielerischen Aspekte von Metro Exodus wollen wir nicht genauer eingehen. Stattdessen konzentrieren wir uns auf die Technik. Per RTX soll die Beleuchtung in Metro: Exodus realistischer denn je... [mehr]