L'installeur Android du jeu populaire Fortnite a été livré avec une faille de sécurité
Une révélation hâtive de Google qui n'a pas plu à Epic Games
Le 2018-08-26 17:10:08, par Coriolan, Expert éminent sénior
Fortnite est un jeu en ligne développé par Epic Games qui a été publié sous la forme de différents progiciels proposant différents modes de jeu qui partagent le même gameplay général et le même moteur de jeu. Devenu un véritable phénomène de société, le jeu est parvenu à attirer plus de 125 millions de joueurs en moins d’un an, et a généré des centaines de millions de dollars par mois.
Disponible sur plusieurs plateformes et consoles, le jeu a été lancé récemment sur Android. Seulement, pour l’installer, il faut impérativement passer par le site de l'éditeur et non pas par Google Play. En effet, Epic Games a choisi de passer par cette voie pour éviter de payer des commissions à Google.
Ce choix a poussé le géant de la recherche à avertir Epic que cette décision risque de mettre en danger la sécurité des utilisateurs, mais sans succès, impossible d’avoir le jeu à partir du store d’Android.
Après avoir montré des alertes à tout utilisateur cherchant à installer Fortnite depuis Google Play, un ingénieur de Google a révélé que la première version de l’installeur d’Epic contient une vulnérabilité sévère de sécurité susceptible de mettre en danger les utilisateurs d’Android. En pratique, cette vulnérabilité permet à un hacker de contourner le processus de téléchargement pour installer des applications malicieuses au lieu de télécharger le jeu à partir du serveur d’Epic, ce qui laisse l’utilisateur donc vulnérable à ce qui est communément appelé l'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM).
Pour que cette faille soit exploitée, la victime doit avoir une application malicieuse installée sur son appareil et susceptible d’exploiter ce type de vulnérabilité. Et vu la façon avec laquelle l’installeur de Fortnite a été écrit, il a été possible de lui prescrire l’installation de n’importe quelle application et lui accorder toutes les permissions.
L’ironie de l’histoire, c’est que quand Google a découvert cette faille le 15 août, la firme a immédiatement notifié Epic. Les détails sur la vulnérabilité n’ont pas été rendus publics jusque-là. L’éditeur de Fortnite a vite publié un correctif de l’installeur dans 48 heures et il a été déployé pour tous les utilisateurs d’Android qui ont téléchargé l’installeur.
Seulement, pour donner plus de temps aux utilisateurs de mettre à jour l'application, et empêcher que des hackers exploitent le bogue, Epic a demandé à Google de ne pas divulguer les détails de la vulnérabilité avant 90 jours.
Toutefois, la politique de Google stipule qu’un bogue n’est pas divulgué dans un délai de 90 jours. Une fois cette période passée ou bien un patch a été rendu disponible, « le rapport du bogue, y compris tout commentaire ou pièce jointe, seront rendus disponibles au public. »
Selon ses propres termes, Google a divulgué les détails sur la faille malgré la requête d’Epic, une décision qui a suscité la colère de l’éditeur du jeu, estimant que cette façon d’agir n’est qu’une forme de représailles suite à sa décision de distribuer Fortnite sans passer par les tuyaux de Google Play.
Google a pour sa part assuré que sa priorité est de garantir la sécurité des utilisateurs d’Android, c’est la raison pour laquelle la firme a entrepris d’auditer l’installeur de Fortnite malgré le fait que l’app n’est pas listée sur Google Play.
La question désormais est de savoir si Google va continuer à monitorer les prochaines versions de Fortnite ou bien toute autre application populaire qui ne sera pas listée sur son store, surtout que de plus en plus de développeurs sont mécontents à cause des commissions jugées exorbitantes imposées par les deux géants Apple et Google. La firme de Cupertino elle n’a pas à s'inquiéter de ce genre de scénario puisque la nature fermée d’iOS empêche l’installation d’applications en dehors de l’App Store.
Source : issuetracker - Mashable
Et vous ?
Que pensez-vous de la décision de Google de divulguer les détails sur la faille ?
Pensez-vous qu'Epic Games aurait dû lister Fortnite sur le Play Store ?
Voir aussi
Fortnite a généré plus de 318 millions de dollars de recette uniquement durant le mois de mai, selon les statistiques de SuperData
Des joueurs de Fortnite, ayant installé un cheat, infectés par un malware qui installe un certificat racine auto-signé pour des MiM sur HTTPS
Epic a lancé des poursuites contre un adolescent de 14 ans pour avoir triché sur « Fortnite : Battle Royal », sa mère est montée au créneau
Disponible sur plusieurs plateformes et consoles, le jeu a été lancé récemment sur Android. Seulement, pour l’installer, il faut impérativement passer par le site de l'éditeur et non pas par Google Play. En effet, Epic Games a choisi de passer par cette voie pour éviter de payer des commissions à Google.
Ce choix a poussé le géant de la recherche à avertir Epic que cette décision risque de mettre en danger la sécurité des utilisateurs, mais sans succès, impossible d’avoir le jeu à partir du store d’Android.
Après avoir montré des alertes à tout utilisateur cherchant à installer Fortnite depuis Google Play, un ingénieur de Google a révélé que la première version de l’installeur d’Epic contient une vulnérabilité sévère de sécurité susceptible de mettre en danger les utilisateurs d’Android. En pratique, cette vulnérabilité permet à un hacker de contourner le processus de téléchargement pour installer des applications malicieuses au lieu de télécharger le jeu à partir du serveur d’Epic, ce qui laisse l’utilisateur donc vulnérable à ce qui est communément appelé l'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM).
Pour que cette faille soit exploitée, la victime doit avoir une application malicieuse installée sur son appareil et susceptible d’exploiter ce type de vulnérabilité. Et vu la façon avec laquelle l’installeur de Fortnite a été écrit, il a été possible de lui prescrire l’installation de n’importe quelle application et lui accorder toutes les permissions.
L’ironie de l’histoire, c’est que quand Google a découvert cette faille le 15 août, la firme a immédiatement notifié Epic. Les détails sur la vulnérabilité n’ont pas été rendus publics jusque-là. L’éditeur de Fortnite a vite publié un correctif de l’installeur dans 48 heures et il a été déployé pour tous les utilisateurs d’Android qui ont téléchargé l’installeur.
Seulement, pour donner plus de temps aux utilisateurs de mettre à jour l'application, et empêcher que des hackers exploitent le bogue, Epic a demandé à Google de ne pas divulguer les détails de la vulnérabilité avant 90 jours.
Toutefois, la politique de Google stipule qu’un bogue n’est pas divulgué dans un délai de 90 jours. Une fois cette période passée ou bien un patch a été rendu disponible, « le rapport du bogue, y compris tout commentaire ou pièce jointe, seront rendus disponibles au public. »
Selon ses propres termes, Google a divulgué les détails sur la faille malgré la requête d’Epic, une décision qui a suscité la colère de l’éditeur du jeu, estimant que cette façon d’agir n’est qu’une forme de représailles suite à sa décision de distribuer Fortnite sans passer par les tuyaux de Google Play.
Google a pour sa part assuré que sa priorité est de garantir la sécurité des utilisateurs d’Android, c’est la raison pour laquelle la firme a entrepris d’auditer l’installeur de Fortnite malgré le fait que l’app n’est pas listée sur Google Play.
La question désormais est de savoir si Google va continuer à monitorer les prochaines versions de Fortnite ou bien toute autre application populaire qui ne sera pas listée sur son store, surtout que de plus en plus de développeurs sont mécontents à cause des commissions jugées exorbitantes imposées par les deux géants Apple et Google. La firme de Cupertino elle n’a pas à s'inquiéter de ce genre de scénario puisque la nature fermée d’iOS empêche l’installation d’applications en dehors de l’App Store.
Source : issuetracker - Mashable
Et vous ?
Voir aussi
-
Que pensez-vous de la décision de Google de divulguer les détails sur la faille ?
Dommage que les smartphones/tablettes soient autant verrouillé, pourvoir installer l'OS de son choix serait vraiment le pied mais en attendant on subit les nazis de l'informatique...le 26/08/2018 à 19:00 -
JosuahFutur Membre du ClubReprésailles basiques, pour l'absence du jeu sur Play Store.
Don't be evil, qu'ils disaient. Mais ça, c'était tellement "avant"...le 27/08/2018 à 1:21 -
kopbucMembre régulier"Pour que cette faille soit exploitée, la victime doit avoir une application malicieuse installée sur son appareil et susceptible d’exploiter ce type de vulnérabilité." Ok donc le téléphone est censé être déjà infecté.le 26/08/2018 à 20:12
-
jvalloisMembre éprouvé« Et vu la façon avec laquelle l’installeur de Fortnite a été écrit, il a été possible de lui prescrire l’installation de n’importe quelle application et lui accorder toutes les permissions. »
Non, l'installateur peut être utilisé pour installer l'application malicieuse.le 26/08/2018 à 23:55 -
kopbucMembre régulierOui mais justement l'appareil doit déjà être infecté pour que l'on puisse utiliser l'installateur pour installer une autre appli malicieuse sinon aucun moyen de contrôler l'installateur. Donc aucun intérêt le malware suffit déjà à faire ça.le 27/08/2018 à 10:42
-
NeckaraInactifDe tels propos sont honteux de la part d'un chercheur en sécurité.
Être à la merci de "structures commerciales complexes" en situation de (quasi-)monopoles, chacune sur leur plateformes, qui peuvent ainsi censurer arbitrairement ce qui ne leur plaît pas, et qui en profitent pour racketter les développeurs d'applications, ce n'est pas vraiment ce qu'on peut appeler une "sécurité".
Dont le comportement ressemble à des techniques mafieuses, à auditer une application qui refuse de se soumettre dans le but à peine caché de porter atteinte à sa réputation, et je présume la faire rentrer dans le rang.
Sans compter derrière les potentiels problèmes de vies privées, ou de neutralité de la plateforme vis-à-vis des applications qu'elle propose.
? À partir du moment où un attaquant peut faire télécharger du code arbitraire et l'exécuter, l'utilisateur est vulnérable à tout type d'attaques, pas spécialement MITM.le 28/08/2018 à 10:06 -
darklinuxMembre extrêmement actifIl est normal d ' avoir un minimum d 'ordre . Pourquoi vouloir installé un OS écrit avec les pieds , compilé à la pisse et très certainement bourré de malwares . pour parlé ainsi de " nazi de l ' informatique " il faut ne pas avoir vécu le règne de Microsoft.le 27/08/2018 à 6:01