La decisione di Epic Games di distribuire Fornite al di fuori del Google Play Store è stata ampiamente criticata. Poiché l’installazione iniziale del gioco e i successivi aggiornamenti sono gestiti direttamente dall’app anziché dal Play Store, Epic ha dovuto costruire da zero la propria infrastruttura di sicurezza. Ebbene, il primo grande difetto di sicurezza riscontrato su Fortnite per Android è stato scoperto nientemeno che da Google.
La scorsa settimana, un ingegnere di Google ha aggiornato l’Issue Tracker, spiegando che ha trovato una vulnerabilità nell’applicazione di avvio di Fornite. Quando l’app di avvio scarica l’APK del gioco, controlla la firma per assicurarsi che il file non sia stato manomesso. Tuttavia, il programma di avvio non controlla l’integrità dell’APK prima che inizi il processo di installazione ma solo il nome del pacchetto.
L’ingegnere ha sottolineato che un’applicazione dannosa con l’autorizzazione WRITE_EXTERNAL_STORAGE può sostituire l’APK Fortnite immediatamente dopo il completamento del processo di download, ma prima che l’utente accetti effettivamente l’installazione.
Sui dispositivi Samsung, il programma di installazione di Fortnite esegue l’installazione dell’APK in modo invisibile tramite un’API del Galaxy Apps Store. Questa API controlla che l’APK installato abbia il nome del pacchetto com.epicgames.fortnite. Di conseguenza, l’APK falso con un nome di pacchetto corrispondente può essere installato silenziosamente.
Se l’APK falso ha una targetSdkVersion 22 o inferiore, verranno concesse tutte le autorizzazioni richieste al momento dell’installazione. Questa vulnerabilità consente a un’app sul dispositivo di dirottare il programma di installazione di Fortnite per installare non la versione originale ma un APK falso con autorizzazioni molto più profonde.
Fortunatamente una patch è stata rilasciata prima che la notizia della falla venisse pubblicata ma è sempre un rischio molto grande non affidarsi al Play Store.