Aggiornamenti recenti Giugno 28th, 2022 10:55 AM
Ago 27, 2018 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
Difficile che qualcuno non abbia mai sentito parlare di Fortnite. È uno dei videogame più popolari del momento e la notizia di una vulnerabilità che lo rende un rischio per la sicurezza dei dispositivi Android è una vera “bomba” destinata a fare parecchio rumore.
Anche perché sui tempi e le modalità di gestione della vicenda si è registrato un battibecco piuttosto aspro tra Google ed Epic Games, la società che ha sviluppato e distribuisce il gioco. Ma andiamo con ordine.
La falla di sicurezza che affligge il videogame è un classico su piattaforma Android e viene chiamata in gergo come Man in the Disk. Si tratta, in pratica, di un bug che un pirata informatico potrebbe sfruttare per installare sul dispositivo una finta versione di Fortnite.
Peggio ancora: l’applicazione malevola può ottenere elevati privilegi di accesso ai dati e alle funzioni del dispositivo senza che siano necessarie le consuete autorizzazioni dell’utente.
La causa di tutto ciò è il sistema di installazione utilizzato da Epic. Quando l’utente avvia l’installazione di Fortnite, infatti, non scarica direttamente l’applicazione, ma un installer che gestisce la procedura di download e avvia l’installazione.
Il problema è che una qualsiasi app con il permesso di accesso WRITE_EXTERNAL_STORAGE può sostituire l’APK in modo che venga installato al posto di quello originale. Se questa operazione viene fatta con le modalità corrette, spiega il ricercatore che ha individuato la falla, l’installazione avviene in maniera del tutto “invisibile” per l’utente.
Dopo la segnalazione, Epic ha realizzato una nuova versione del gioco che risolve il problema, ma la sua distribuzione non è andata propriamente liscia.
Tra la società produttrice del videogioco e Google ci sono state un po’ di scintille a causa della fretta con cui la vulnerabilità è stata resa pubblica. Epic, in particolare, avrebbe preferito che Google concedesse i canonici 90 giorni prima di pubblicare i dettagli della falla di sicurezza.
I tweet di Tim Sweeney, CEO di Epic, chiariscono senza mezzi termini il suo “disappunto” per la linea seguita da Google.
Secondo l’amministratore delegato di Epic, infatti, quel periodo di tempo avrebbe permesso di distribuire l’aggiornamento a un numero maggiore di utenti, riducendo il rischio che qualche pirata informatico riuscisse a sfruttare la vulnerabilità.
Da parte sua, Google ha replicato sostenendo che il monitoraggio degli aggiornamenti di Fortinite attraverso Android indica che il numero di dispositivi con la versione vulnerabile sarebbero pochissimi.
I maligni, però, sostengono che la manovra di Google sia una forma di ritorsione nei confronti di Epic Games, “colpevole” di aver ritirato l’applicazione da Google Play per non condividere i profitti con Google.
Per sapere se le preoccupazioni di Sweeney abbiano fondamento, d’altra parte, non ci resta che aspettare qualche giorno. Considerata la proverbiale efficacia dei controlli anti-malware di Google Store, se qualcuno creerà un’app in grado di sfruttare la falla lo sapremo di certo…
Mag 19, 2022 0
Mag 06, 2022 0
Feb 17, 2022 0
Feb 10, 2022 0
Giu 28, 2022 0
Giu 27, 2022 0
Giu 27, 2022 0
Giu 27, 2022 0
Mar 11, 2022 0
Il ransomware è un flagello che sta colpendo le aziende di...Mar 10, 2022 0
Il ransomware è una tipologia d’attacco di cui...Mar 09, 2022 0
Non c’è quasi utente di computer che non abbia sentito...Mar 08, 2022 0
Il ransomware è una vera e propria piaga...Ott 22, 2021 0
Il ruolo dei sistemi di tracciamento delle attività...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Giu 28, 2022 0
Il National Institute of Standards and Technology (NIST)...Giu 27, 2022 0
Una ricerca indica che l’APT Bronze Starlight, legato...Giu 27, 2022 0
Una nuova tecnica di phishing può sfruttare le...Giu 27, 2022 0
Microsoft Italia ha lanciato un piano di training e...Giu 24, 2022 0
Uno studio di Kasperski ha analizzato come e a che...Continuano le montagne russe nella valutazione nel mercato delle vulnerabilità.... Continua →