Aggiornamenti recenti Dicembre 9th, 2019 4:57 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La cassetta degli attrezzi del bravo hacker
- Mosca: i poliziotti vendono l’accesso alle telecamere di controllo
- Una vulnerabilità nei sistemi Unix mette a rischio le VPN
- BlackDirect espone alla violazione degli account Microsoft Azure
- Hacker tentano un attacco 51% contro Vertcoin, ma ci perdono soldi
Falla di sicurezza in Fortnite per Android: Epic Games e Google litigano…
Il bug consente un attacco “Man in the Disk”. Il produttore del videogioco: “annuncio frettoloso, serve più tempo per distribuire gli aggiornamenti”.
Difficile che qualcuno non abbia mai sentito parlare di Fortnite. È uno dei videogame più popolari del momento e la notizia di una vulnerabilità che lo rende un rischio per la sicurezza dei dispositivi Android è una vera “bomba” destinata a fare parecchio rumore.
Anche perché sui tempi e le modalità di gestione della vicenda si è registrato un battibecco piuttosto aspro tra Google ed Epic Games, la società che ha sviluppato e distribuisce il gioco. Ma andiamo con ordine.
La falla di sicurezza che affligge il videogame è un classico su piattaforma Android e viene chiamata in gergo come Man in the Disk. Si tratta, in pratica, di un bug che un pirata informatico potrebbe sfruttare per installare sul dispositivo una finta versione di Fortnite.
Peggio ancora: l’applicazione malevola può ottenere elevati privilegi di accesso ai dati e alle funzioni del dispositivo senza che siano necessarie le consuete autorizzazioni dell’utente.
La causa di tutto ciò è il sistema di installazione utilizzato da Epic. Quando l’utente avvia l’installazione di Fortnite, infatti, non scarica direttamente l’applicazione, ma un installer che gestisce la procedura di download e avvia l’installazione.
Il problema è che una qualsiasi app con il permesso di accesso WRITE_EXTERNAL_STORAGE può sostituire l’APK in modo che venga installato al posto di quello originale. Se questa operazione viene fatta con le modalità corrette, spiega il ricercatore che ha individuato la falla, l’installazione avviene in maniera del tutto “invisibile” per l’utente.
Dopo la segnalazione, Epic ha realizzato una nuova versione del gioco che risolve il problema, ma la sua distribuzione non è andata propriamente liscia.
Tra la società produttrice del videogioco e Google ci sono state un po’ di scintille a causa della fretta con cui la vulnerabilità è stata resa pubblica. Epic, in particolare, avrebbe preferito che Google concedesse i canonici 90 giorni prima di pubblicare i dettagli della falla di sicurezza.
I tweet di Tim Sweeney, CEO di Epic, chiariscono senza mezzi termini il suo “disappunto” per la linea seguita da Google.
Secondo l’amministratore delegato di Epic, infatti, quel periodo di tempo avrebbe permesso di distribuire l’aggiornamento a un numero maggiore di utenti, riducendo il rischio che qualche pirata informatico riuscisse a sfruttare la vulnerabilità.
Da parte sua, Google ha replicato sostenendo che il monitoraggio degli aggiornamenti di Fortinite attraverso Android indica che il numero di dispositivi con la versione vulnerabile sarebbero pochissimi.
I maligni, però, sostengono che la manovra di Google sia una forma di ritorsione nei confronti di Epic Games, “colpevole” di aver ritirato l’applicazione da Google Play per non condividere i profitti con Google.
Per sapere se le preoccupazioni di Sweeney abbiano fondamento, d’altra parte, non ci resta che aspettare qualche giorno. Considerata la proverbiale efficacia dei controlli anti-malware di Google Store, se qualcuno creerà un’app in grado di sfruttare la falla lo sapremo di certo…
Condividi l'articolo
Milioni di smartphone possono essere attaccati con i comandi AT
Vulnerabilità critiche in Ghostscript. E non c’è ancora la patch…
Articoli correlati
Altro in questa categoria
Sicurezza Gestita: servizio enterprise a una frazione del costo
Approfondimenti
-
La cassetta degli attrezzi del bravo hacker Sergio Caruso è un esperto di sicurezza che abbiamo già... -
Red Team o Blue Team? Adesso c’è anche il Purple... Le operazioni di Red Teaming sono importantissime, ma... -
Affidarsi all’Intelligenza Artificiale? Si può (e si... Dalla ricerca SonicWall emerge uno scenario in cui gli... -
Il threat hunting è la risposta alle minacce alle grandi... Panda Security è un’azienda che negli ultimi anni si è... -
Gestire l’accesso al cloud è una priorità La migrazione di dati e servizi verso “la nuvola” è...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Mosca: i poliziotti vendono l’accesso alle telecamere di... Nei bassifondi del Web è possibile acquistare per pochi... -
Una vulnerabilità nei sistemi Unix mette a rischio le VPN I ricercatori hanno trovato il modo per analizzare il... -
BlackDirect espone alla violazione degli account Microsoft... Il sistema di autenticazione usato da Microsoft lascia... -
Hacker tentano un attacco 51% contro Vertcoin, ma ci... I pirati informatici hanno cercato di portare un attacco... -
Emergenza StrandHogg: il nuovo exploit per Android già... Sfrutta una falla del sistema Google e permette di...
La cassetta degli attrezzi del bravo hacker
Sergio Caruso è un esperto di sicurezza che abbiamo già... Continua →
Guide alla sicurezza
Il futuro dell’autenticazione multi-fattore è hardware
Il superamento di username e password è una necessità. Ma...
DDoS e attacchi alle Web Application: le nuove sfide
Le tecniche di attacco sono in continua crescita ed evoluzione....
Credential Stuffing: i costi per le aziende e le contromisure
Uno studio del Ponemon Institute, condotto intervistando 569 IT manager...
I rischi di sicurezza nell’IoT e come porre un primo rimedio
Gli accessori connessi a Internet sono la nuova frontiera delle...
Guida completa a Instagram per genitori
Instagram è uno dei social network più conosciuti su internet....