Fortnite per Android, vulnerabilità nell'installer

Ha fatto molto discutere la modalità di distribuzione scelta da Epic Games per il suo popolare gioco. Fortnite per Android è infatti disponibile sul sito ufficiale, non sul Google Play Store. Proprio un ingegnere di Google ha scoperto una grave vulnerabilità nell’installer che permette a malintenzionati di installare qualsiasi app sullo smartphone all’insaputa dell’utente. Fortunatamente il bug è stato corretto.

La software house ha scelto di distribuire Fortnite per Android come file APK, probabilmente per evitare di versare a Google il 30% della somma incassata per gli acquisti in-app. In realtà, il file presente sul sito ufficiale è solo l’installer che scarica il gioco intero dai server di Epic Games. Ovviamente è necessario attivare l’installazione da fonti sconosciute. La vulnerabilità scoperta nell’installer consente di sostituire il file APK del gioco con un file APK qualsiasi al termine dell’installazione, sfruttando il permesso WRITE_EXTERNAL_STORAGE.

Questo tipo di attacco prende il nome di “man-in-the-disk“. L’installer verifica solo che il nome del pacchetto è “com.epicgames.fortnite“, quindi è sufficiente sostituire il file APK originale con un malware che ha lo stesso nome. Invece del gioco, gli utenti eseguiranno il file infetto. Epic Games è stata informata dal Security Team di Google e ha già provveduto ad aggiornare l’installer alla versione 2.1.0, eliminando la grave vulnerabilità.

Tim Sweeney, CEO di Epic Games, ha criticato la scelta dell’azienda di Mountain View di pubblicare i dettagli tecnici del bug, dato che molti utenti non ancora effettuato l’aggiornamento. La software house aveva chiesto di aspettare 90 giorni prima della divulgazione pubblica, ma questa scadenza è valida in generale. La policy di Google prevede che la patch per una vulnerabilità zero-day venga rilasciata entro 7 giorni.