Через Fortnite Installer хакеры могли установить любое приложение на смартфон жертвы
Epic Games исправила уязвимость на следующий день после обнаружения.
Google обнаружила критическую уязвимость в приложении Fortnite Installer. При помощи него студия Epic Games распространяет игру Fortnite Mobile на смартфоны Android.
Суть проблемы в следующем: для того, чтобы получить игру, пользователь сначала должен скачать Fortnite Installer, который уже загружает и устанавливает полную версию Fortnite. Однако при помощи атаки «Man-in-the-Disk» злоумышленник мог подменить реальную игру на любое другое приложение с любыми разрешениями, включая выдачу личной информации.
Epic Games оперативно выпустила обновление Fortnite Installer до версии 2.1, а также попросила Google не обнародовать подробности уязвимости в течение 90 дней. Однако корпорация опубликовала подробное описание уже через неделю.
Это привело к тому, что генеральный директор Epic Games Тим Суини выпустил обращение, в котором не только поблагодарил Google за «тщательный аудит безопасности Fortnite», но и назвал компанию «безответственной», потому что «многие установщики ещё не обновились и были уязвимы». Суини называет такой ход со стороны Google попыткой снизить доверие к Epic в ответ на отказ последней от распространения популярнейшего тайтла через Play Маркет.
Изначально Fortnite Mobile был доступен в качестве эксклюзива на смартфонах Samsung, сейчас игру могут получить все владельцы Android-устройств. Для этого потребуется зарегистрироваться в программе бета-тестирования.