Fortnite er navnet på et av de aller mest populære dataspillene i verden for tiden, og spillet fant nylig også veien til Android-plattformen. Denne versjonen hadde en svært alvorlig sårbarhet, melder blant andre Android Central.
Sårbarheten ble avdekket av Google selv, og altså ikke utvikleren Epic Games, som opplyste om saken via sin Issue Tracker-tjeneste.
Fortnite Installer
Sårbarheten ligger ikke i selve spillet, men i en app som brukes til å installere spillet, kalt Fortnite Installer. Når man velger å laste ned spillet er det først denne appen som lastes ned, som igjen henter spillet fra utvikleren.
Det Google fant ut var at Fortnite Installer-appen relativt enkelt kunne «kapres» på en slik måte at man kunne få appen til laste ned hva som helst, og ikke bare Fortnite-spillet. Den legger med andre ord til rette for «mann-i-midten»-angrep som kan brukes til å installere ondsinnede apper.
På grunn av måten Androids tillatelsesmodell fungerer på trenger ikke en bruker å akseptere en app-installasjon fra en ukjent kilde utover tillatelsen man ga for selve Fortnite-installasjonen.
Alvorlig
Dermed får man ingen indikasjoner på at man laster ned noe annet enn Fortnite-appen mens installasjonen pågår, slik at ondsinnede apper således kan lastes ned uforstyrret og uten at brukeren vet om det i det hele tatt. Dette gjør altså sårbarheten alvorlig, og alvorligheten forverres av Fortnite-spillets popularitet.
Det spesielle med Android-versjonen av Fortnite var at utvikleren Epic Games ikke valgte å legge appen ut på Google Play-butikken, som kan ha vært en medvirkende årsak til at sårbarheten ikke ble oppdaget.
–Uansvarlig av Google
Google sa raskt ifra til Epic Games om den alvorlige sårbarheten, og utvikleren skal allerede ha fikset den. Samtidig rettet Epic kritikk mot Google for å ha brutt den såkalte 90-dagersregelen for offentliggjøring av sårbarheten, noe utvikleren mener hevet risikoen.
– Det var uansvarlig av Google å offentlig publisere de tekniske detaljene rundt sårbarheten så raskt, mens mange installasjoner ennå ikke hadde blitt oppdatert og var fremdeles sårbare, heter det i en uttalelse som Epic ga overfor Android Central.
90-dagersregelen, som sier at utviklere har 90 dager på seg til å fikse sårbarheter før Google offentliggjør den, gjelder riktignok ikke dersom utviklerne slippes en fiks før den tid. Epic mente imidlertid altså at Google likevel skulle gitt folk mer tid til å hente oppdateringen, gitt den store utbredelsen av appen.
Epic har altså fikset feilen, og for å forsikre deg om at du ikke er utsatt må du passe på at du har installert versjon 2.1.0 av Fortnite Installer, som du finner under innstillingene.
Les også: Nå kan du laste ned Windows 95 som app »
