[新闻]三星手机用户下载要塞英雄小心恶意程式上

楼主: joe09 (你先上我殿后)   2018-09-02 06:30:58
三星手机用户下载要塞英雄小心恶意程式上身!
新闻媒体:iThome
文/李建兴 | 2018-08-28发表
Google发现Epic Games的热门游戏要塞英雄在三星装置的游戏安装器,存在磁盘人(
Man-in-the-disk,MITD)漏洞,在Epic Games完成修补后,随即公开漏洞细节,此举引
来Epic Games执行长Tim Sweeney批评Google借机报仇。
行动装置热门游戏要塞英雄(Fortnite)近日被Google安全团队揭露,其安装器存在严重
漏洞,极易被骇客利用来入侵用户手机。Google点名三星装置因为其专有的API,让骇客
有机可乘利用设计不良的要塞英雄安装器,进行磁盘人(Man-in-the-disk,MITD)攻击
,让用户在不知不觉中安装恶意程式。8月15日游戏公司Epic Games获Google通知后,已
经完成漏洞修补,但Epic Games执行长随后也向媒体抱怨,认为Google太快揭露漏洞细节
,可能影响未更新的用户端。
Android玩家在Google Play上下载的要塞英雄应用程式并非游戏本体,而是游戏的下载器
,想要游玩要塞英雄的玩家,都必须先到Google Play下载游戏安装应用程式,接着透过
浏览器到Epic Games下载游戏本体并进行安装。这样的Android应用程式发布方式并非典
型的作法,而且存在风险,玩家必须要自己确认是从Epic Games网站下载应用程式,而非
一个可能是伪造的游戏网站,才同意未知来源APK的安装。
手机上的应用程式会依造请求从网络上下载内容,骇客只要拦截该请求,就能用来下载任
意的恶意程式,而且原本发出请求的应用程式并不会知道下载的内容遭到置换,甚至会主
动启动恶意程式。Google的安全团队发现,骇客要拦截要塞英雄安装器发出的游戏下载请
求并不难,而且安装器也不知道下载回来的档案是否安全。
骇客能够借此发动磁盘人攻击,这种攻击方法就像是骇客躲藏在储存空间中一样,游戏安
装器下载回来的APK档案,可能会被第三方应用程式置换成恶意软件。不过,这个漏洞目
前仅发生在三星装置上,根据Google的安全报告,在三星手机上,要塞英雄安装器使用了
三星专有的应用程式API,三星的API会将下载的档案存在Android的外部贮存器(
External Storage)中,而由于外部贮存器辅助空间是供众多应用程式共享的硬件资源,
因此只要WRITE_EXTERNAL_STORAGE属性设为允许,则应用程式便能将资料放进外部贮存器
中,但这也是问题所在。
三星的API仅检查正在安装的APK是否与套件名称com.epicgames.fortnite相符,而在
Android上套件名称安全性并不高,轻易就可以创建一个通过这项检查的应用程式,因此
恶意的应用程式可以等待Fortnite安装程式下载更新完成后,在安装开始之前,换掉
com.epicgames.fortnite这个APK,要塞英雄安装器便会不疑有他的安装恶意的应用程式
,而且当APK的targetSdkVersion为22,也就是Android 5.1 Lollipop或更低版本,将被
授权安装过程需要的任何权限,甚至不需要用户同意。
Google于8月15日私下知会了Epic Games该漏洞,Epic Games也在第二天释出漏洞更新启
动器2.1.0版,而正如Google建议的,Epic Games修补该漏洞的方法,就是把原本默认储
存从公共外部储存移动到内部储存。
这个漏洞也曝露了两间企业的微妙关系,Epic Games为了规避Google Play商店程式内购
买30%的抽成,仅在商店中发布安装器,游戏本体则由自家发布,这无疑是影响了Google
的营收,同时也让Android用户面临安全威胁。Google在确定Epic Games完成漏洞修部后
,随即公开了漏洞细节,而这个动作引来Epic执行长Tim Sweeney的批评。
Tim Sweeney向外国媒体Mashable抱怨,虽然他们很感谢Google在要塞英雄发布Android版
本后,随即进行安全审核,并且也向他们报告了漏洞细节,帮助他们更新修复应用程式,
但是Google揭露漏洞的技术细节过程并不负责任,有许多装置尚未更新到要塞英雄最新版
本,仍然容易受到攻击,Epic Games曾要求Google延迟90天公开漏洞,但受到Google的拒
绝。Tim Sweeney认为,Google不能因为Epic Games在Google Play商店外发布游戏,就把
使用者的安全拿来作为反击的武器。
新闻连结:https://www.ithome.com.tw/news/125521
心得:虽然我没玩要塞英雄,之前看到一堆人说在samsung上架不在android上
现在好了吧!!!~人家google帮你抓虫,没有随即公布,是先知会你游戏公司。
最后还敢抱怨google太早公布。
帮你抓虫就不错了,而且上架在PLAY商店有问题是google要帮担责任的好吗?
消费者只会觉得你google没做好把关,有把关了还要被游戏公司抱怨。
这是惯老板心态全世界都有吧!!!

Links booklink

Contact Us: admin [ a t ] ucptt.com