Aggiornamenti recenti Giugno 17th, 2019 12:58 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacco alle app Web per il sequenziamento del DNA
- Triplicato l’interesse dei bambini per i siti di ecommerce
- Kaspersky inaugura a Madrid il nuovo Transparency Center
- Finti agenti della CIA ricattano le vittime utilizzando il sextortion
- Falla in IOS XE permette di prendere il controllo dei dispositivi Cisco
Falla di sicurezza in Fortnite per Android: Epic Games e Google litigano…
Il bug consente un attacco “Man in the Disk”. Il produttore del videogioco: “annuncio frettoloso, serve più tempo per distribuire gli aggiornamenti”.
Difficile che qualcuno non abbia mai sentito parlare di Fortnite. È uno dei videogame più popolari del momento e la notizia di una vulnerabilità che lo rende un rischio per la sicurezza dei dispositivi Android è una vera “bomba” destinata a fare parecchio rumore.
Anche perché sui tempi e le modalità di gestione della vicenda si è registrato un battibecco piuttosto aspro tra Google ed Epic Games, la società che ha sviluppato e distribuisce il gioco. Ma andiamo con ordine.
La falla di sicurezza che affligge il videogame è un classico su piattaforma Android e viene chiamata in gergo come Man in the Disk. Si tratta, in pratica, di un bug che un pirata informatico potrebbe sfruttare per installare sul dispositivo una finta versione di Fortnite.
Peggio ancora: l’applicazione malevola può ottenere elevati privilegi di accesso ai dati e alle funzioni del dispositivo senza che siano necessarie le consuete autorizzazioni dell’utente.
La causa di tutto ciò è il sistema di installazione utilizzato da Epic. Quando l’utente avvia l’installazione di Fortnite, infatti, non scarica direttamente l’applicazione, ma un installer che gestisce la procedura di download e avvia l’installazione.
Il problema è che una qualsiasi app con il permesso di accesso WRITE_EXTERNAL_STORAGE può sostituire l’APK in modo che venga installato al posto di quello originale. Se questa operazione viene fatta con le modalità corrette, spiega il ricercatore che ha individuato la falla, l’installazione avviene in maniera del tutto “invisibile” per l’utente.
Dopo la segnalazione, Epic ha realizzato una nuova versione del gioco che risolve il problema, ma la sua distribuzione non è andata propriamente liscia.
Tra la società produttrice del videogioco e Google ci sono state un po’ di scintille a causa della fretta con cui la vulnerabilità è stata resa pubblica. Epic, in particolare, avrebbe preferito che Google concedesse i canonici 90 giorni prima di pubblicare i dettagli della falla di sicurezza.
I tweet di Tim Sweeney, CEO di Epic, chiariscono senza mezzi termini il suo “disappunto” per la linea seguita da Google.
Secondo l’amministratore delegato di Epic, infatti, quel periodo di tempo avrebbe permesso di distribuire l’aggiornamento a un numero maggiore di utenti, riducendo il rischio che qualche pirata informatico riuscisse a sfruttare la vulnerabilità.
Da parte sua, Google ha replicato sostenendo che il monitoraggio degli aggiornamenti di Fortinite attraverso Android indica che il numero di dispositivi con la versione vulnerabile sarebbero pochissimi.
I maligni, però, sostengono che la manovra di Google sia una forma di ritorsione nei confronti di Epic Games, “colpevole” di aver ritirato l’applicazione da Google Play per non condividere i profitti con Google.
Per sapere se le preoccupazioni di Sweeney abbiano fondamento, d’altra parte, non ci resta che aspettare qualche giorno. Considerata la proverbiale efficacia dei controlli anti-malware di Google Store, se qualcuno creerà un’app in grado di sfruttare la falla lo sapremo di certo…
Condividi l'articolo
Milioni di smartphone possono essere attaccati con i comandi AT
Vulnerabilità critiche in Ghostscript. E non c’è ancora la patch…
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il threat hunting è la risposta alle minacce alle grandi... Panda Security è un’azienda che negli ultimi anni si è... -
Gestire l’accesso al cloud è una priorità La migrazione di dati e servizi verso “la nuvola” è... -
Akamai: oggi la sicurezza richiede un modello “Zero... La filosofia della società di sicurezza per garantire la... -
Kaspersky Lab scende nel dettaglio della loro Global... Alla luce dell’apertura da parte di altri produttori, al... -
Transparency Center Initiative di Kaspersky Lab: cosa... Gli ultimi fatti che vedono continui screzi tra Stati Uniti...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Attacco alle app Web per il sequenziamento del DNA I pirati sfruttano una falla nelle applicazioni.... -
Falla in IOS XE permette di prendere il controllo dei... Il bug è stato corretto ed è disponibile un... -
Attacco DDoS a Telegram mette in crisi il servizio I sistemi hanno subito un’aggressione massiccia portata... -
Have I Been Pwned pronto per crescere Il fondatore Troy Hunt annuncia l’intenzione di avviare... -
Pochi aggiornano e i pirati continuano a sfruttare la falla... I cyber-criminali stanno sfruttando attivamente una...
Attacco alle app Web per il sequenziamento del DNA
I pirati sfruttano una falla nelle applicazioni. L’origine dell’attacco in... Read more →
Guide alla sicurezza
Il futuro dell’autenticazione multi-fattore è hardware
Il superamento di username e password è una necessità. Ma...
DDoS e attacchi alle Web Application: le nuove sfide
Le tecniche di attacco sono in continua crescita ed evoluzione....
Credential Stuffing: i costi per le aziende e le contromisure
Uno studio del Ponemon Institute, condotto intervistando 569 IT manager...
I rischi di sicurezza nell’IoT e come porre un primo rimedio
Gli accessori connessi a Internet sono la nuova frontiera delle...
Guida completa a Instagram per genitori
Instagram è uno dei social network più conosciuti su internet....