Une faille majeure dans l’application Android de Fortnite permet aux hackers d’installer des malwares

Des chercheurs en sécurité de chez Google ont publiquement révélé l’existence d’une grave faille de sécurité dans la première version de Fortnite pour Android, une faille qui peut permettre à d’autres applications installées sur les appareils ciblés de manipuler le processus d’installation et de charger des malwares, plutôt que le fichier APK de Fortnite.

Plus tôt ce mois-ci, la firme Epic Games a annoncé que la version Android de Fortnite, son jeu qui jouit d’une extraordinaire popularité, ne serait pas disponible sur le Google Play Store, mais directement via sa propre application.

De nombreux chercheurs avaient prévenu l’entreprise que cette approche pouvait potentiellement exposer les utilisateurs d’Android à de plus grands risques, car télécharger des APK en dehors du Play Store n’est pas recommandé et nécessite aussi que les utilisateurs désactivent certaines fonctionnalités de sécurité de leurs appareils Android.

Et manifestement ces prédictions se sont révélées vraies.

Les développeurs de Google ont découvert une dangereuse faille de sécurité dès que le jeu Fortnite a été lancé sur Android.

Le programme d’installation de Fortnite pour Android est vulnérable aux attaques Man-in-the-Disk

Dans une vidéo de preuve de concept publiée par Google, des chercheurs ont démontré que leurs attaques tiraient profit d’un vecteur man-in-the-disk (MitD)  nouvellement sorti (détaillé dans notre article précédent).

Pour résumé, les attaques man-in-the-disk permettent aux applications malveillantes de manipuler les données d’autres applications détenues dans le stockage externe non-protégé avant qu’elles ne les lisent, amenant à l’installation d’applications indésirables au lieu de la mise à jour légitime.

Pour ceux qui l’ignorent, pour installer Fortnite sur votre téléphone Android, vous devez d’abord installer une application « aidante » (un programme d’installation) qui télécharge Fortnite sur l’espace de stockage de votre téléphone et l’installe sur l’appareil.

Les développeurs de Google ont découvert que n’importe quelle application sur le téléphone avec la permission WRITE_EXTERNAL_STORAGE peut intercepter l’installation et remplacer le fichier d’installation par un autre APK malveillant, en incluant un avec toutes les permissions autorisées comme l’accès aux SMS, l’historique d’appels, le GPS, et même l’appareil photo – le tout sans que vous ne vous en rendiez compte.

« Sur les appareils Samsung, le programme d’installation de Fortnite procède discrètement à l’installation de l’APK via un API Galaxy Apps privé. Cet API vérifie que l’APK installé dispose de l’appellation com.epicgames.fortnite. Ainsi, le faux APK avec un nom correspondant peut être installé en toute tranquillité, déclare un chercheur de chez Google.

« Si le faux APK a un targetSdkVersion de 22 ou moins, il obtiendra toutes les permissions qu’il demande durant l’installation. Cette vulnérabilité autorise une application sur l’appareil à pirater le programme d’installation de Fortnite pour pouvoir à la place installer un faux APK avec des autorisations qui sont normalement données par l’utilisateur. »

Le patch correctif pour Fortnite sur Android a été installé

Puisque la première version du programme d’installation de Fortnite a été exclusivement lancée sur les téléphones Samsung, la vulnérabilité n’a affecté que le programme d’installation de Fortnite disponible via le store Galaxy Apps, et non pas la version rendue disponible pour les appareils autres que Samsung.

Google a découvert la vulnérabilité et prévenu Epic Games le 15 août, qui a confirmé son existence et a sorti un patch dans les 48 heures qui ont suivies avec le lancement de la version 2.1.0 du programme d’installation de Fortnite.

Néanmoins, en plus de remercier Google d’avoir partagé les détails de la faille, le PDG d’Epic Games, Tim Sweeney, a aussi critiqué les chercheurs pour avoir révélé publiquement la vulnérabilité dans les 7 jours plutôt que d’avoir attendu 90 jours.

« Nous avons demandé à Google de garder cette révélation pour eux jusqu’à ce que la mise à niveau soit massivement installée. Ils ont refusé, créant un risque non nécessaire pour les utilisateurs Android, tout cela pour gagner de misérables points de sympathie de la part du grand public », a tweeté Sweeney.

« Mais pourquoi avoir révélé les détails techniques ? Cela n’amène rien si ce n’est aider les hackers à cibler les utilisateurs non-patchés. »

En ce qui concerne les utilisateurs, les joueurs de Fortnite sont incités à mettre à jour leur programme d’installation avec la dernière version 2.1.0. Si vous avez déjà procédé à la mise à jour mais que vous êtes quand même inquiet de l’impact de cette faille, désinstallez et réinstallez Fortnite pour Android pour tout recommencer à zéro.

Puisque Epic Games n’a pas dévoilé plus d’informations sur ce bug, il est difficile de savoir si la faille a été réellement exploitée à grande échelle et combien de personnes ont téléchargé l’APK Android corrompu.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *