[新聞]三星手機用戶下載要塞英雄小心惡意程式上

作者: joe09 (你先上我殿後)   2018-09-02 06:30:58
三星手機用戶下載要塞英雄小心惡意程式上身!
新聞媒體:iThome
文/李建興 | 2018-08-28發表
Google發現Epic Games的熱門遊戲要塞英雄在三星裝置的遊戲安裝器,存在磁碟人(
Man-in-the-disk,MITD)漏洞,在Epic Games完成修補後,隨即公開漏洞細節,此舉引
來Epic Games執行長Tim Sweeney批評Google藉機報仇。
行動裝置熱門遊戲要塞英雄(Fortnite)近日被Google安全團隊揭露,其安裝器存在嚴重
漏洞,極易被駭客利用來入侵用戶手機。Google點名三星裝置因為其專有的API,讓駭客
有機可乘利用設計不良的要塞英雄安裝器,進行磁碟人(Man-in-the-disk,MITD)攻擊
,讓用戶在不知不覺中安裝惡意程式。8月15日遊戲公司Epic Games獲Google通知後,已
經完成漏洞修補,但Epic Games執行長隨後也向媒體抱怨,認為Google太快揭露漏洞細節
,可能影響未更新的用戶端。
Android玩家在Google Play上下載的要塞英雄應用程式並非遊戲本體,而是遊戲的下載器
,想要遊玩要塞英雄的玩家,都必須先到Google Play下載遊戲安裝應用程式,接著透過
瀏覽器到Epic Games下載遊戲本體並進行安裝。這樣的Android應用程式發布方式並非典
型的作法,而且存在風險,玩家必須要自己確認是從Epic Games網站下載應用程式,而非
一個可能是偽造的遊戲網站,才同意未知來源APK的安裝。
手機上的應用程式會依造請求從網路上下載內容,駭客只要攔截該請求,就能用來下載任
意的惡意程式,而且原本發出請求的應用程式並不會知道下載的內容遭到置換,甚至會主
動啟動惡意程式。Google的安全團隊發現,駭客要攔截要塞英雄安裝器發出的遊戲下載請
求並不難,而且安裝器也不知道下載回來的檔案是否安全。
駭客能夠藉此發動磁碟人攻擊,這種攻擊方法就像是駭客躲藏在儲存空間中一樣,遊戲安
裝器下載回來的APK檔案,可能會被第三方應用程式置換成惡意軟體。不過,這個漏洞目
前僅發生在三星裝置上,根據Google的安全報告,在三星手機上,要塞英雄安裝器使用了
三星專有的應用程式API,三星的API會將下載的檔案存在Android的外部貯存器(
External Storage)中,而由於外部貯存器輔助空間是供眾多應用程式共享的硬體資源,
因此只要WRITE_EXTERNAL_STORAGE屬性設為允許,則應用程式便能將資料放進外部貯存器
中,但這也是問題所在。
三星的API僅檢查正在安裝的APK是否與套件名稱com.epicgames.fortnite相符,而在
Android上套件名稱安全性並不高,輕易就可以創建一個通過這項檢查的應用程式,因此
惡意的應用程式可以等待Fortnite安裝程式下載更新完成後,在安裝開始之前,換掉
com.epicgames.fortnite這個APK,要塞英雄安裝器便會不疑有他的安裝惡意的應用程式
,而且當APK的targetSdkVersion為22,也就是Android 5.1 Lollipop或更低版本,將被
授權安裝過程需要的任何權限,甚至不需要用戶同意。
Google於8月15日私下知會了Epic Games該漏洞,Epic Games也在第二天釋出漏洞更新啟
動器2.1.0版,而正如Google建議的,Epic Games修補該漏洞的方法,就是把原本預設儲
存從公共外部儲存移動到內部儲存。
這個漏洞也曝露了兩間企業的微妙關係,Epic Games為了規避Google Play商店程式內購
買30%的抽成,僅在商店中發布安裝器,遊戲本體則由自家發布,這無疑是影響了Google
的營收,同時也讓Android用戶面臨安全威脅。Google在確定Epic Games完成漏洞修部後
,隨即公開了漏洞細節,而這個動作引來Epic執行長Tim Sweeney的批評。
Tim Sweeney向外國媒體Mashable抱怨,雖然他們很感謝Google在要塞英雄發布Android版
本後,隨即進行安全審核,並且也向他們報告了漏洞細節,幫助他們更新修復應用程式,
但是Google揭露漏洞的技術細節過程並不負責任,有許多裝置尚未更新到要塞英雄最新版
本,仍然容易受到攻擊,Epic Games曾要求Google延遲90天公開漏洞,但受到Google的拒
絕。Tim Sweeney認為,Google不能因為Epic Games在Google Play商店外發布遊戲,就把
使用者的安全拿來作為反擊的武器。
新聞連結:https://www.ithome.com.tw/news/125521
心得:雖然我沒玩要塞英雄,之前看到一堆人說在samsung上架不在android上
現在好了吧!!!~人家google幫你抓蟲,沒有隨即公布,是先知會你遊戲公司。
最後還敢抱怨google太早公布。
幫你抓蟲就不錯了,而且上架在PLAY商店有問題是google要幫擔責任的好嗎?
消費者只會覺得你google沒做好把關,有把關了還要被遊戲公司抱怨。
這是慣老闆心態全世界都有吧!!!

Links booklink

Contact Us: admin [ a t ] ucptt.com