Aggiornamenti recenti Agosto 19th, 2019 11:25 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacco hacker alla BCE. I pirati nei sistemi per mesi
- Hackerata Suprema. Gli esperti: “Società di (in)sicurezza biometrica”
- Quattro app per appuntamenti rivelano l’esatta posizione degli utenti
- Nuove falle nel controllo remoto di Windows: aggiornare!
- Router 4G a rischio attacco. Avete aggiornato il firmware?
Falla di sicurezza in Fortnite per Android: Epic Games e Google litigano…
Il bug consente un attacco “Man in the Disk”. Il produttore del videogioco: “annuncio frettoloso, serve più tempo per distribuire gli aggiornamenti”.
Difficile che qualcuno non abbia mai sentito parlare di Fortnite. È uno dei videogame più popolari del momento e la notizia di una vulnerabilità che lo rende un rischio per la sicurezza dei dispositivi Android è una vera “bomba” destinata a fare parecchio rumore.
Anche perché sui tempi e le modalità di gestione della vicenda si è registrato un battibecco piuttosto aspro tra Google ed Epic Games, la società che ha sviluppato e distribuisce il gioco. Ma andiamo con ordine.
La falla di sicurezza che affligge il videogame è un classico su piattaforma Android e viene chiamata in gergo come Man in the Disk. Si tratta, in pratica, di un bug che un pirata informatico potrebbe sfruttare per installare sul dispositivo una finta versione di Fortnite.
Peggio ancora: l’applicazione malevola può ottenere elevati privilegi di accesso ai dati e alle funzioni del dispositivo senza che siano necessarie le consuete autorizzazioni dell’utente.
La causa di tutto ciò è il sistema di installazione utilizzato da Epic. Quando l’utente avvia l’installazione di Fortnite, infatti, non scarica direttamente l’applicazione, ma un installer che gestisce la procedura di download e avvia l’installazione.
Il problema è che una qualsiasi app con il permesso di accesso WRITE_EXTERNAL_STORAGE può sostituire l’APK in modo che venga installato al posto di quello originale. Se questa operazione viene fatta con le modalità corrette, spiega il ricercatore che ha individuato la falla, l’installazione avviene in maniera del tutto “invisibile” per l’utente.
Dopo la segnalazione, Epic ha realizzato una nuova versione del gioco che risolve il problema, ma la sua distribuzione non è andata propriamente liscia.
Tra la società produttrice del videogioco e Google ci sono state un po’ di scintille a causa della fretta con cui la vulnerabilità è stata resa pubblica. Epic, in particolare, avrebbe preferito che Google concedesse i canonici 90 giorni prima di pubblicare i dettagli della falla di sicurezza.
I tweet di Tim Sweeney, CEO di Epic, chiariscono senza mezzi termini il suo “disappunto” per la linea seguita da Google.
Secondo l’amministratore delegato di Epic, infatti, quel periodo di tempo avrebbe permesso di distribuire l’aggiornamento a un numero maggiore di utenti, riducendo il rischio che qualche pirata informatico riuscisse a sfruttare la vulnerabilità.
Da parte sua, Google ha replicato sostenendo che il monitoraggio degli aggiornamenti di Fortinite attraverso Android indica che il numero di dispositivi con la versione vulnerabile sarebbero pochissimi.
I maligni, però, sostengono che la manovra di Google sia una forma di ritorsione nei confronti di Epic Games, “colpevole” di aver ritirato l’applicazione da Google Play per non condividere i profitti con Google.
Per sapere se le preoccupazioni di Sweeney abbiano fondamento, d’altra parte, non ci resta che aspettare qualche giorno. Considerata la proverbiale efficacia dei controlli anti-malware di Google Store, se qualcuno creerà un’app in grado di sfruttare la falla lo sapremo di certo…
Condividi l'articolo
Milioni di smartphone possono essere attaccati con i comandi AT
Vulnerabilità critiche in Ghostscript. E non c’è ancora la patch…
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Affidarsi all’Intelligenza Artificiale? Si può (e si... Dalla ricerca SonicWall emerge uno scenario in cui gli... -
Il threat hunting è la risposta alle minacce alle grandi... Panda Security è un’azienda che negli ultimi anni si è... -
Gestire l’accesso al cloud è una priorità La migrazione di dati e servizi verso “la nuvola” è... -
Akamai: oggi la sicurezza richiede un modello “Zero... La filosofia della società di sicurezza per garantire la... -
Kaspersky Lab scende nel dettaglio della loro Global... Alla luce dell’apertura da parte di altri produttori, al...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Attacco hacker alla BCE. I pirati nei sistemi per mesi La Banca Centrale Europea ha dovuto mettere offline il... -
Hackerata Suprema. Gli esperti: “Società di... La vittima è Suprema, che gestisce la piattaforma di... -
Quattro app per appuntamenti rivelano l’esatta posizione... Le informazioni fornite dalle applicazioni permettono di... -
Nuove falle nel controllo remoto di Windows: aggiornare! L’ultimo update di Microsoft corregge quattro... -
Router 4G a rischio attacco. Avete aggiornato il firmware? Una raffica di bug individuata nei modelli più diffusi...
Attacco hacker alla BCE. I pirati nei sistemi per mesi
La Banca Centrale Europea ha dovuto mettere offline il servizio... Continua →
In collaborazione con SonicWall
SonicWall Cloud App Security: sicurezza nell’età del cloud
L’uso di servizi cloud fa ormai parte della vita di molte aziende,...
Guide alla sicurezza
Il futuro dell’autenticazione multi-fattore è hardware
Il superamento di username e password è una necessità. Ma...
DDoS e attacchi alle Web Application: le nuove sfide
Le tecniche di attacco sono in continua crescita ed evoluzione....
Credential Stuffing: i costi per le aziende e le contromisure
Uno studio del Ponemon Institute, condotto intervistando 569 IT manager...
I rischi di sicurezza nell’IoT e come porre un primo rimedio
Gli accessori connessi a Internet sono la nuova frontiera delle...
Guida completa a Instagram per genitori
Instagram è uno dei social network più conosciuti su internet....