Fortnite für Android: Geiz sorgt für massive Sicherheitslücke

Thread Starter
Mitglied seit
06.03.2017
Beiträge
114.157
fortnite.jpg
Mit der Entscheidung, Fortnite für Android nicht über Googles Play Store anzubieten, hat Epic die Diskussion über hohe Provisionen neu entfacht. Die verlangten 30 % seien zu viel für die erbrachte Leistung, so eines der Argumente. Doch im Nachhinein zeigt sich, dass Geiz sich schnell als falsche Motivation entpuppen kann: Denn im Fortnite-Installer lauerte eine massive Sicherheitslücke.Eine bessere Beschreibung als self-fulfilling prophecy - eine selbsterfüllende Prophezeiung - dürfte es aus Sicht vieler Experten für die Entwicklung nicht geben. Denn letztlich ist genau das eingetreten, wovor Epic eindringlich gewarnt worden ist: Das Einschleusen einer Lücke durch...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
genial, ich liebe solche geschichten, sowas denkt man sich auch nicht aus haha
 
Naja das Smartphone muss bereits gewissermaßen Kompromitiert worden sein, damit das ausgenutzt werden kann.
Allerdings kann es natürlich gut sein, dass die App die einfach nur Downloads austauscht auch im PlayStore sein kann und durch Google Sicherheitsprüfungen durch rutscht, da ja kein direkt schädliches verhalten durch die Virenscanner von Google erkannt werden kann.

Allgemein ist das erlauben von Apps aus fremden Quellen mMn. das viel größere Problem. Leute die keine Ahnung haben was das bedeutet (das dürften sehr viele der Millionen Fortnite Speiler sein) lassen das am ende an und irgendwann holen sie sich damit irgend eine Schadsoftware von ner dubiosen Webseite wo ein Download beginnt.

Klar "Dummheit wird bestraft" aber dass die Einstellung "Apps aus fremden Quellen zulassen" standardmäßig deaktiviert ist ist nun mal ne Schutzfunktion für Lieschen Müller.

Ich hoffe doch sehr, dass in der Installationsanleitung von Fortnite für Android groß und fett steht das man die Option danach sofort wieder deaktivieren soll!
 
Ich hoffe doch sehr, dass in der Installationsanleitung von Fortnite für Android groß und fett steht das man die Option danach sofort wieder deaktivieren soll!
Genau das bringt ja nichts. Der zuvor installierte Launcher kann auch bei deaktiviertem "Apps aus fremden Quellen zulassen" runterladen was er will. Deshalb wäre es ja wichtig gewesen, dass der Launcher von Anfang darauf geachtet hätte, dass er die korrekte AKP runterlädt.
 
Computerbild will seine Überschrift zurück.

Massive Lücke... ohne verwertbares Angriffsszenario hohoho. Adobe beschwert sich gerade über Liebesentzug und Google würde Epic gerne 30% abzocken. Deswegen gibt es etwas Werbung für die Sicherheit des eigenen Konzentrationslagers... mit garantierter Übertragung der Nutzerstandortes.
 
Massive Lücke... ohne verwertbares Angriffsszenario hohoho.

Ein Hack der Epic Server und ein Austausch der APK und schon ist das Dingen auf Millionen Android-Geräten. Die Vergangenheit hat gezeigt, dass sowas durchaus auch passieren kann. Nur weil dir kein Szenario einfällt, gibt es nicht direkt keins.
 
Und was hat dein "Szenario" mit der Sicherheitslücke zu tun? Gar nichts, die braucht es dafür ja nicht einmal.

Zumal die ganze Geschichte hier stinkt, vor allem, wenn google sich nicht einmal selbst an seine eigenen Vorgaben zum Veröffentlichen von Sicherheitslücken hält. Hier geht es um schlechte Presse und "Werbung" für den eigenen "sichererer" Appstore, sonst nichts.

Wo ist eigentlich die "massive" Sicherheitslücke, wenn das Gerät bereits kompromittiert sein muss, damit sie ausgenutzt werden kann? Dann ist das Kind doch schon lange in den Brunnen gefallen.
 
Zuletzt bearbeitet:
Genau das bringt ja nichts. Der zuvor installierte Launcher kann auch bei deaktiviertem "Apps aus fremden Quellen zulassen" runterladen was er will. Deshalb wäre es ja wichtig gewesen, dass der Launcher von Anfang darauf geachtet hätte, dass er die korrekte AKP runterlädt.

Bitte alles durchlesen was ich geschrieben habe.

Die Lücke ist eh geschlossen, wenn (durch das fehlen in der Anleitung, dass man es danach sofort wieder deaktivieren soll) bei Millionen Smartphones aber die Option immer noch aktiv ist, so ist das eine fast noch größere Lücke. Denn die Lücke im Launcher hat eine App /Schadsoftware auf dem Smartphone benötig. Die Option hingegen ist deaktiviert damit erst gar kein scheiß bei den aller meisten Leuten drauf kommt.
 
Und was hat dein "Szenario" mit der Sicherheitslücke zu tun? Gar nichts, die braucht es dafür ja nicht einmal.

Äh... Wenn der Fortnite Installer die APK, die er heruntergeladen hat, nicht prüft, dann ist das exakt diese Sicherheitslücke hier, nur so mal am Rande erwähnt.
 
Ein Hack der Epic Server und ein Austausch der APK und schon ist das Dingen auf Millionen Android-Geräten.
Bei einem Hack des Epic Servers, wie von dir genannt, könnte er prüfen wie er lustig ist, weil man einfach Installer und APK austauscht.
Wie schon gesagt, dein "Szenario" hat mit der Lücke nichts zu tun. Mit deinem Szenario braucht es keine Lücke, denn dann ist alles kompromittiert, was ausgeliefert wird/werden kann.

Würde man Windows Update Server hacken, würde man einen Appstore hacken, würde ...



Das hier ist einfach von google aufgebauschter Quark, um den Appstore zu pushen. Wer sich nicht an seine eigene 90 Tage Regel hält, sondern nach 7 Tagen rumblöckt, zeigt mehr als deutlich worum es wirklich geht. Zumal die Lücke an sich doch schon diskussionswürdig ist. Klar muss man das fixen, aber

Ist auf dem Smartphone oder Tablet bereits ein Schädling vorhanden, der nach dem Start von Downloads außerhalb des Play Stores Ausschau hält, kann dieser den Befehl kompromittieren und auf ein eigenes Ziel umleiten;
wo braucht man hier denn noch bitte Fortnite bzw. deren Installer? Das Gerät ist bereits kompromittiert! Und ja, mir ist bewusst, dass es durch diese Lücke eine APK mit gleichem Namen einfach "stillschweigend" und "versteckt" installieren kann.

Trotzdem erneut: Das Gerät ist bereits kompromittiert! Das ganze hier wird von google ausgeschlachtet und ich wette sogar, dass genau aus diesem Grund gezielt nach Lücken gesucht wurde. ;)
 
Zuletzt bearbeitet:
Mal gucken wie lange sich Fortnite überhaupt hält. Es wurden bereits die ersten Hacker am PC entdeckt:

 
Und was hat dein "Szenario" mit der Sicherheitslücke zu tun? Gar nichts, die braucht es dafür ja nicht einmal.

Zumal die ganze Geschichte hier stinkt, vor allem, wenn google sich nicht einmal selbst an seine eigenen Vorgaben zum Veröffentlichen von Sicherheitslücken hält. Hier geht es um schlechte Presse und "Werbung" für den eigenen "sichererer" Appstore, sonst nichts.
Tatsächlich scheint es Google-intern zwei Vorgaben zum geben, was eventuell noch als Update in die News fließen wird. Generell hält man sich an die 90-Tage-Regel, um Entwicklern die Zeit für Updates zu geben und nicht "Werbung" für die Lücke zu machen. Bei einer Zero-Day-Lücke scheint man aber wohl Ausnahmen zu machen. Aber ja: Google nutzt das natürlich für Werbung für den Play Store aus.

Wo ist eigentlich die "massive" Sicherheitslücke, wenn das Gerät bereits kompromittiert sein muss, damit sie ausgenutzt werden kann? Dann ist das Kind doch schon lange in den Brunnen gefallen.
Ja und nein. Es stimmt zwar, dass man sich das Problem schon vorher eingefangen hat. Aber erst die Kombination aus beiden Problemen macht die Sache ja gefährlich.

Bitte alles durchlesen was ich geschrieben habe.

Die Lücke ist eh geschlossen, wenn (durch das fehlen in der Anleitung, dass man es danach sofort wieder deaktivieren soll) bei Millionen Smartphones aber die Option immer noch aktiv ist, so ist das eine fast noch größere Lücke. Denn die Lücke im Launcher hat eine App /Schadsoftware auf dem Smartphone benötig. Die Option hingegen ist deaktiviert damit erst gar kein scheiß bei den aller meisten Leuten drauf kommt.
Du hast völlig recht. Android müsste sehr aggressiver darauf hinweisen, wenn die Option aktiviert ist. Aber letztlich ist die Existenz dieser Option ein Preis dafür, dass Android offener als iOS ist.
 
Finde ich gut an den 30% Provision vorbei zu gehen. Das ist viel zu viel.
Allerdings wäre das eher eine Gier als Geiz.
Den Launcher müsste man jetzt natürlich entsprechend fixen falls möglich.
Und Google soll den eigenen scheiß erst mal fixen...Android....das solche Komprimierungen gar nicht erst möglich sind!
Aber dann kann man ja so schlecht über pöhse apks warnen.
 
Bei einem Hack des Epic Servers, wie von dir genannt, könnte er prüfen wie er lustig ist, weil man einfach Installer und APK austauscht.

...mit dem Unterschied, dass dann zumindest nur neue User betroffen sind, die den Installer gerade das erste Mal installieren, und nicht die bereits existierenden Millionen Kunden, die die APK wahrscheinlich sogar per Auto-Update reinbekommen.

Doch, das ist sogar das wahrscheinlichste Szenario für diese Lücke. Der Installer installiert APKs ohne vorherige Signaturprüfung. Das ist die Lücke, um die es hier geht. Ob die APK nur via Man-in-the-Middle, Hack der Epic-Server oder sonst wie ausgetauscht wird, spielt absolut keine Rolle. Ein Hack der Epic-Server ist dabei dann die lukrativste Möglichkeit, denn es trifft nicht nur neue User, sondern auch sämtliche bestehende User (vorausgesetzt die App hat einen Auto-Updater, was ich jetzt nicht weiß). Je länger der Hack bzw. der Austausch der APK unbemerkt bleibt, desto mehr User laden die kompromittierte APK runter. Die meisten Auto-Updater prüfen alle 24 Stunden, ob Updates da sind. Heißt 12 Stunden, was durchaus im Rahmen des Möglichen liegt, und rund die Hälfte der Userbase hat schon ein Problem.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh