Especialistas do Google revelaram a existência de uma vulnerabilidade crítica no instalador da primeira versão do Fortnite para Android. A descoberta foi divulgada publicamente depois que os pesquisadores entraram em contato com a Epic Games, em 15 de agosto, quando a empresa de entretenimento divulgou um patch para reparar a vulnerabilidade em questão de horas.
A exploração da vulnerabilidade permitia que os cibercriminosos pudessem se aproveitar de um novo vetor de ataque que afeta dispositivos Android, chamado Man-in-the-Disk (MitD), ao permitir que outros aplicativos previamente instalados no celular manipulem o processo de instalação a fim de baixar e instalar qualquer coisa em segundo plano, inclusive aplicativos com um alto grau de permissões, sem o conhecimento do usuário.
A descoberta da vulnerabilidade veio à tona logo após a Epic Games anunciar que Fortnite não estaria disponível no Google Play, mas apenas em seu site oficial. Segundo declarações do CEO da Epic Games, Tim Sweeney, os motivos que levaram a essa decisão foram dois: poder ter um relacionamento mais direto com seus clientes, e não perder 30% dos lucros em cada compra do jogo, uma comissão que era cobrada pelo Google Play.
Como publicamos anteriormente no WeLiveSecurity, a decisão da empresa de entretenimento pode representar um risco para os usuários, já que a loja do Google oferece mais garantias de segurança do que o download de aplicativos através de outros sites.
Para instalar Fortnite em um smartphone com Android, em primeiro lugar é necessário baixar o instalador responsável pelo download do jogo no armazenamento interno do celular. De acordo com a descoberta dos especialistas de segurança do Google, qualquer app previamente instalado no smartphone que tenha permissões WRITE_EXTERNAL_STORAGE pode substituir o APK de Fortnite, uma vez concluída a transferência, e substituir o arquivo com a instalação de outro APK malicioso, destacaram os especialistas no relatório.
Como a primeira versão do instalador de Fortnite foi lançada exclusivamente em dispositivos Samsung, a vulnerabilidade afetou apenas instaladores do jogo disponíveis através da loja Galaxy Apps.
Felizmente, o patch que reparava a vulnerabilidade saiu em menos de 48 horas e foi adicionado em todos os instaladores Fortnite que tinham sido instalados anteriormente (os usuários só precisam atualizar o instalador), de acordo uma publicação na página AndroidCentral. Nesse sentido, a versão 2.1.0 do instalador é aquela que contém o patch. Para conferir a versão correta, o usuário pode executar o instalador e verificar as preferências.
No entanto, Tim Sweeney críticou o Google por divulgar publicamente a falha em apenas 7 dias após o lançamento do patch, mesmo depois de uma solicitação da Epic Games para que esperassem até o momento em que a maioria dos usuários realizasse o download da versão atualizada.
O popular jogo continua dando o que falar. Ontem (27) publicamos outra notícia relacionada com o jogo a partir de uma campanha lançada pela empresa para promover o uso do duplo fator de autenticação entre os usuários em troca da instalação gratuita de uma nova dança.