Aggiornamenti recenti Febbraio 7th, 2025 11:57 AM
Ago 27, 2018 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
Difficile che qualcuno non abbia mai sentito parlare di Fortnite. È uno dei videogame più popolari del momento e la notizia di una vulnerabilità che lo rende un rischio per la sicurezza dei dispositivi Android è una vera “bomba” destinata a fare parecchio rumore.
Anche perché sui tempi e le modalità di gestione della vicenda si è registrato un battibecco piuttosto aspro tra Google ed Epic Games, la società che ha sviluppato e distribuisce il gioco. Ma andiamo con ordine.
La falla di sicurezza che affligge il videogame è un classico su piattaforma Android e viene chiamata in gergo come Man in the Disk. Si tratta, in pratica, di un bug che un pirata informatico potrebbe sfruttare per installare sul dispositivo una finta versione di Fortnite.
Peggio ancora: l’applicazione malevola può ottenere elevati privilegi di accesso ai dati e alle funzioni del dispositivo senza che siano necessarie le consuete autorizzazioni dell’utente.
La causa di tutto ciò è il sistema di installazione utilizzato da Epic. Quando l’utente avvia l’installazione di Fortnite, infatti, non scarica direttamente l’applicazione, ma un installer che gestisce la procedura di download e avvia l’installazione.
Il problema è che una qualsiasi app con il permesso di accesso WRITE_EXTERNAL_STORAGE può sostituire l’APK in modo che venga installato al posto di quello originale. Se questa operazione viene fatta con le modalità corrette, spiega il ricercatore che ha individuato la falla, l’installazione avviene in maniera del tutto “invisibile” per l’utente.
Dopo la segnalazione, Epic ha realizzato una nuova versione del gioco che risolve il problema, ma la sua distribuzione non è andata propriamente liscia.
Tra la società produttrice del videogioco e Google ci sono state un po’ di scintille a causa della fretta con cui la vulnerabilità è stata resa pubblica. Epic, in particolare, avrebbe preferito che Google concedesse i canonici 90 giorni prima di pubblicare i dettagli della falla di sicurezza.
I tweet di Tim Sweeney, CEO di Epic, chiariscono senza mezzi termini il suo “disappunto” per la linea seguita da Google.
Secondo l’amministratore delegato di Epic, infatti, quel periodo di tempo avrebbe permesso di distribuire l’aggiornamento a un numero maggiore di utenti, riducendo il rischio che qualche pirata informatico riuscisse a sfruttare la vulnerabilità.
Da parte sua, Google ha replicato sostenendo che il monitoraggio degli aggiornamenti di Fortinite attraverso Android indica che il numero di dispositivi con la versione vulnerabile sarebbero pochissimi.
I maligni, però, sostengono che la manovra di Google sia una forma di ritorsione nei confronti di Epic Games, “colpevole” di aver ritirato l’applicazione da Google Play per non condividere i profitti con Google.
Per sapere se le preoccupazioni di Sweeney abbiano fondamento, d’altra parte, non ci resta che aspettare qualche giorno. Considerata la proverbiale efficacia dei controlli anti-malware di Google Store, se qualcuno creerà un’app in grado di sfruttare la falla lo sapremo di certo…
Gen 15, 2025 0
Dic 09, 2024 0
Nov 21, 2024 0
Ott 11, 2024 0
Feb 07, 2025 0
Feb 06, 2025 0
Feb 05, 2025 0
Feb 04, 2025 0
Gen 30, 2025 0
Quando si parla di dati e di privacy, gli utenti si dicono...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Gen 15, 2025 0
Gli ultimi giorni dell’anno sono da sempre...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Feb 07, 2025 0
Un bug critico e noto di Outlook è stato sfruttato...Feb 06, 2025 0
Silent Lynx, un gruppo APT di origine kazaka, è tornato...Feb 05, 2025 0
Il team di Threat Hunting della Zero Day Initiative di...Feb 04, 2025 0
Sophos ha completato l’acquisizione di Secureworks,...Feb 03, 2025 0
Meta ha annunciato di aver smantellato una campagna di...