L’installeur de Fortnite pour Android permet à un pirate d’installer n’importe quelle application sur votre téléphone

a révélé qu’il a découvert une vulnérabilité extrêmement grave dans le premier installateur pour qui permet à n’importe quelle application de votre téléphone de télécharger des applications en arrière-plan, y compris les applications disposant de toutes les autorisations. L’équipe de sécurité de Google a d’abord révélé la vulnérabilité à Epic Games le 15 août 2018 et a depuis publié les informations publiquement après confirmation par Epic que la vulnérabilité avait été corrigée.

Quelle est la vulnérabilité pour l’installeur Fortnite d’Android et pourquoi est-ce si grave ?

Quand vous allez télécharger “Fortnite”, vous ne téléchargez pas le jeu en entier, vous téléchargez d’abord le programme d’installation de Fortnite. The Fortnite Installer est une application simple que vous téléchargez et installez, qui télécharge ensuite le jeu complet Fortnite directement depuis Epic.

Le problème, comme l’a découvert l’équipe de sécurité de Google, était que le programme d’installation de Fortnite était très facilement exploitable pour détourner la demande de téléchargement de Fortnite d’Epic. C’est ce qu’on appelle une attaque de type man in the disk: une application sur votre téléphone recherche les demandes de téléchargement sur Internet et intercepte cette demande pour télécharger quelque chose à la place, à l’insu de l’application de téléchargement d’origine. C’est possible uniquement parce que le programme d’installation de Fortnite n’a pas été conçu correctement. Le programme d’installation de Fortnite n’avait aucune idée qu’il facilitait le téléchargement de logiciels malveillants.

L’installeur Fortnite pour Android transforme votre téléphone en une passoire

Pour être exploité, vous devez avoir une application installée sur votre téléphone qui recherchait une telle vulnérabilité, mais étant donné la popularité de Fortnite et l’anticipation de la sortie, il est fort probable que des applications peu recommandables soient disponibles. Plusieurs fois, les applications malveillantes installées sur les téléphones ne comportent pas un seul exploit, elles ont toute une charge utile remplie de nombreuses vulnérabilités.

Mais voilà où ça commence à merder. En raison de la manière du fonctionnement des autorisations d’Android, vous ne devrez pas accepter l’installation d’une application à partir de “sources inconnues” au-delà du moment où vous avez accepté cette installation pour Fortnite. En raison de la manière dont cet exploit fonctionne, rien n’indique pendant le processus d’installation que vous téléchargez autre chose que Fortnite (et Fortnite Installer n’a aucune connaissance à ce sujet), alors qu’en arrière-plan une application entièrement différente est en cours d’installation.

La faille de Fortnite était pire pour les Smartphones Samsung

Tout se passe dans les délais prévus pour l’installation de l’application à partir du programme d’installation de Fortnite, vous acceptez l’installation, car vous pensez que vous installez le jeu. Sur les téléphones Samsung qui reçoivent l’application de Galaxy Apps, en particulier, les choses sont même pires: il n’y a même pas de première invite à partir de “sources inconnues” car Galaxy Apps est une source connue. En allant plus loin, cette application qui vient d’être installée peut déclarer et obtenir toutes les autorisations possibles sans votre consentement. Peu importe que vous ayez un téléphone avec Android Lollipop ou Android Pie, ou que vous ayez désactivé “sources inconnues” après l’installation du programme d’installation de Fortnite, dès que vous l’avez installé, vous pourriez être attaqué.

La page de suivi des problèmes de Google pour l’exploit a un enregistrement d’écran rapide qui montre à quel point un utilisateur peut télécharger et installer Fortnite Installer dans ce cas à partir du Galaxy Apps Store et pense télécharger Fortnite tout en téléchargeant et installant un programme malveillant. app, avec des autorisations complètes – appareil photo, emplacement, microphone, SMS, stockage et téléphone – appelé “Fortnite”. Cela prend quelques secondes et aucune interaction de l’utilisateur.

Comment garantir que vous êtes en sécurité ?

Heureusement, Epic a agi rapidement pour corriger la faille. Selon Epic, l’exploit a été corrigé moins de 48 heures après avoir été notifié et déployé sur tous les installateurs Fortnite déjà installés. Les utilisateurs doivent simplement mettre à jour le programme d’installation, ce qui est l’affaire d’un seul clic. Le programme d’installation Fortnite qui a apporté le correctif est la version 2.1.0, que vous pouvez vérifier en lançant le programme d’installation Fortnite et en accédant à ses paramètres. Si, pour une raison quelconque, vous deviez télécharger une version antérieure de Fortnite Installer, vous serez invité à installer la version 2.1.0 (ou ultérieure) avant d’installer Fortnite.

Epic Games n’a pas publié d’informations sur cette vulnérabilité en dehors de la confirmation de sa correction dans la version 2.1.0 du programme d’installation, nous ignorons donc si elle a été activement exploitée par les pirates. Si votre programme d’installation de Fortnite est à jour, mais que vous craignez toujours d’être affecté par cette vulnérabilité, vous pouvez désinstaller Fortnite et Fortnite Installer, puis recommencer le processus d’installation pour vous assurer que votre installation Fortnite est légitime. Vous pouvez (et devriez) également lancer une analyse avec Google Play Protect pour, le cas échéant, identifier tout s’il a été installé.

Epic Games considère que Google est irresponsable

Un porte-parole de Google avait le commentaire suivant sur la situation:

La sécurité des utilisateurs est notre priorité absolue et, dans le cadre de notre surveillance proactive des logiciels malveillants, nous avons identifié une vulnérabilité dans le programme d’installation de Fortnite. Nous avons immédiatement notifié Epic Games et ils ont résolu le problème.

Epic Games a fourni le commentaire suivant du PDG Tim Sweeney :

Epic a vraiment apprécié les efforts de Google pour réaliser un audit de sécurité approfondi de Fortnite immédiatement après notre sortie sur Android, et partager les résultats avec Epic afin que nous puissions rapidement publier une mise à jour pour corriger la faille découverte.

Cependant, il était irresponsable de Google de divulguer publiquement les détails techniques de la faille si rapidement, alors que de nombreuses installations n’avaient pas encore été mises à jour et étaient toujours vulnérables.

À ma demande, un ingénieur en sécurité d’Epic a demandé à Google de retarder la publication des données au cours des 90 jours habituels pour permettre à la mise à jour d’être plus largement installée. Google a refusé. Vous pouvez tout lire sur https://issuetracker.google.com/issues/112630336

Les efforts d’analyse de sécurité de Google sont appréciés et profitent à la plate-forme Android. Cependant, une entreprise aussi puissante que Google devrait respecter un calendrier de divulgation plus responsable et ne pas mettre en danger les utilisateurs contre la distribution de Fortnite par Epic. .

Les leçons à tirer de ce merdier

La rengaine habituelle est nécessaire. Il est extrêmement important d’installer uniquement des applications provenant de sociétés et de développeurs de confiance. Cette faille, aussi catastrophique que soit-elle, nécessitait toujours que vous disposiez à la fois du programme d’installation Fortnite et d’une autre application malveillante qui demanderait le téléchargement de logiciels malveillants plus dangereux. Avec la popularité massive de Fortnite, il est fort possible que ces cercles se chevauchent, mais cela ne doit pas nécessairement vous arriver.

Une des préoccupations des experts avec la décision d’installer Fortnite en dehors du Play Store était que la popularité du jeu surpasserait le bon sens général des gens à rester sur le Play Store pour leurs applications. Il s’agit du type de vulnérabilité qui risquerait de se retrouver dans le processus de révision du Play Store et serait corrigé avant qu’un grand nombre de personnes ne le télécharge. Et avec Google Play Protect sur votre téléphone, Google pourrait supprimer l’application à distance si jamais elle était diffusée.

Pour sa part, Google est parvenu à détecter cette vulnérabilité, même si l’application n’est pas distribuée via le Play Store. Nous savons déjà que Google Play Protect peut analyser les applications sur votre téléphone même si elle a été installé directement à partir du Web ou d’un autre app store. Dans ce cas, ce processus a été découvert par une équipe de sécurité de Google et l’a rapporté à l’éditeur. Ce processus se déroule généralement en arrière-plan sans beaucoup de fanfare, mais lorsque nous parlons d’une application comme Fortnite avec probablement des dizaines de millions d’installations, cela montre à quel point Google prend au sérieux la sécurité dans Android.

Traduction d’un article d’Android Central

Houssen Mohsinaly

Houssen Mohsinaly

Rédacteur web depuis 2009 et vulgarisateur scientifique. J'écris sur l'actualité scientifique, les cryptomonnaie, mais également les nombreux domaines de la sécurité informatique. Que ce soit les piratages, les Ransomwares, les virus et d'autres malwares.

Avant de lancer ce blog, j'étais contributeur sur de nombreux magazines spécialisés dans la sécurité informatique et je tenais également une rubrique sur les menaces sur le numérique dans un titre de la presse écrite.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *