Investigadores de Google dieron a conocer la existencia de una vulnerabilidad crítica en el instalador de la primera versión de Fortnite para Android. El hallazgo se dio a conocer públicamente luego de que los investigadores se comunicaran con Epic Games el pasado 15 de agosto y que la compañía de entretenimiento lanzara un parche para reparar la vulnerabilidad a las pocas horas.
Te puede interesar también:
La explotación de la vulnerabilidad hacía posible que se aprovecharan de un nuevo vector de ataque que afecta a dispositivos Android, denominado Man-in-the-Disk (MitD), al permitir que otras aplicaciones, previamente instaladas en el teléfono, manipulen el proceso de instalación y descarguen e instalen cualquier cosa en segundo plano; incluso aplicaciones con un alto grado de permisos asegurados, sin que el usuario se entere.
El descubrimiento de la vulnerabilidad salió a la luz poco tiempo después de que Epic Games anunciara que Fortnite no estará disponible en Google Play, sino en su página oficial. De acuerdo a declaraciones del CEO de Epic Games, Tim Sweeney, las razones que motivaron a esta decisión fueron dos: poder tener una relación más directa con sus clientes, y no perder el 30% de las ganancias de cada compra del juego que realiza un usuario; comisión que cobraba Google Play.
Tal como publicamos en su momento en WeLiveSecurity, la decisión de la empresa de entretenimiento puede suponer un riesgo para los usuarios, ya que la tienda de Google ofrece más garantías de seguridad que realizar descargas de apps en páginas de terceros.
Para instalar el juego en un teléfono con Android, en primer lugar hay que descargar un instalador que es el encargado de descargar Fortnite en el almacenamiento interno del teléfono. Y según lo que revelaron los investigadores de seguridad de Google, cualquier app previamente instalada en el teléfono que cuente con los permisos de WRITE_EXTERNAL_STORAGE puede sustituir la APK de Fortnite una vez que la descarga se completó y reemplazar el archivo con la instalación de otra APK maliciosa, aseguraron los expertos en su reporte.
Dado que la primera versión del instalador de Fortnite se lanzó exclusivamente en dispositivos Samsung, la vulnerabilidad afectó únicamente a los instaladores del juego disponibles a través de la tienda Galaxy Apps.
Por suerte, el parche que reparaba la vulnerabilidad salió en menos de 48 horas y fue agregado en todos los instaladores de Fortnite que habían sido instalados previamente (los usuarios solo deben actualizar el instalador), publicó Androidcentral. En este sentido, la versión 2.1.0 del instalador es la que contiene el parche. Para corroborar que es la correcta pueden ejecutar el instalador y ver en las preferencias.
Sin embargo, Tim Sweeney se mostró crítico con Google por hacer público el fallo apenas 7 días después de lanzado el parche luego de que habían solicitado que esperaran para comunicarlo hasta que la actualización hubiese sido instalada por la mayoría de los usuarios.
El popular juego sigue dando que hablar. El pasado viernes publicamos otra noticia relacionada con el juego a partir de una campaña que lanzó la compañía para fomentar el uso del doble factor de autenticación entre los usuarios a cambio de la instalación gratuita de un nuevo baile.