Fortnite für Android

Geiz sorgt für massive Sicherheitslücke

Mit der Entscheidung, Fortnite für Android nicht über Googles Play Store anzubieten, hat Epic die Diskussion über hohe Provisionen neu entfacht. Die verlangten 30 % seien zu viel für die erbrachte Leistung, so eines der Argumente. Doch im Nachhinein zeigt sich, dass Geiz sich schnell als falsche Motivation entpuppen kann: Denn im Fortnite-Installer lauerte eine massive Sicherheitslücke.

Eine bessere Beschreibung als self-fulfilling prophecy - eine selbsterfüllende Prophezeiung - dürfte es aus Sicht vieler Experten für die Entwicklung nicht geben. Denn letztlich ist genau das eingetreten, wovor Epic eindringlich gewarnt worden ist: Das Einschleusen einer Lücke durch den Zwang, Fortnite, bzw. den Fortnite-Installer als sogenannten Sideload zu installieren. Worin genau das Problem besteht, hat Google aufgedeckt und dokumentiert - was dem ganzen eine gewisse Ironie verleiht.

Wer Fortnite auf einem Android-Smartphone oder -Tablet spielen möchte, muss den Fortnite Installer (com.epicgames.portal) von der Epic-Homepage herunterladen und das Installieren von APKs aus unbekannten Quellen freigeben. Es folgt die Installation des Fortnite-Launchers, der dann letztlich die für das Spiel erforderlichen Daten (com.epicgames.fortnite) herunterlädt. Da Epic allerdings auf essentielle Sicherheitsfunktionen verzichtet hat, überprüft der Launcher nicht, ob er die korrekte APK herunterlädt - nur der Dateiname wird überprüft.

Ist auf dem Smartphone oder Tablet bereits ein Schädling vorhanden, der nach dem Start von Downloads außerhalb des Play Stores Ausschau hält, kann dieser den Befehl kompromittieren und auf ein eigenes Ziel umleiten; in diesem Fall möglicherweise auf eine APK mit dem Namen com.epicgames.fortnite. Laut Android Central kann das als klassische Man-in-the-Disk-Attacke bezeichnet werden.

Eine solche nutzt eine Schwachstelle in Android aus. Das Betriebssystem unterteilt den vorhandenen Massenspeicher in mehrere Bereiche, darunter den „internen" und „externen" Speicher; extern muss sich nicht zwangsläufig auf eine SD-Karte oder ähnliches beziehen. Üblicherweise wird der externe Speicher für Daten genutzt, die zwischen installierten Apps ausgetauscht oder von externen Geräten abgerufen werden sollen - beispielsweise Fotos. 

Allerdings wird eines der wichtigsten Android-Sicherheitsmerkmale somit ausgehebelt: Die sogenannte Sandbox kommt nur zum Einsatz, wenn die Daten im internen Speicher liegen. Dass das zum Problem werden kann, weiß auch Google und hat entsprechend Empfehlungen ausgesprochen, die im Umgang mit dem externen Speicher beachtet werden sollten. Die sehen unter anderem vor, dass Daten, die vom externen in den internen Speicher verschoben werden, zuvor überprüft werden sollen. Zudem sollten ausführbare Daten nicht im externen Speicher abgelegt werden. Wie Check Point herausgefunden hat, halten sich allerdings einige Entwickler nicht an diese Richtlinien - selbst Google soll die mit einigen Apps verletzen.

Problematisch wird diese Art der Attacke aber am Ende durch einen anderen Faktor. Denn da in diesem Fall der Installation von Fortnite bereits zugestimmt wurde, ist eine Freigabe für die gänzlich andere APK nicht mehr erforderlich. Schließlich geht Android davon aus, dass ganz im Sinne des Nutzers gehandelt wird. Und da Epic selbst keine entsprechende Schutzmaßnahmen eingebaut hat, entdeckt auch der Installer keinen Fehler. Massiv wird die Sicherheitslücke letztlich dadurch, dass sich die vom Schädling eingeschleuste Software jede gewünschte Freigabe erteilen kann - vom Zugriff auf Kontakte über die Standortbestimmung bis hin zum Starten von Telefonaten.

Eine Ausnahme stellen Samsung-Smartphones und -Tablets wie das Galaxy Note 9 dar. Hier kann Fortnite über den den eigenen App Store - Galaxy Apps - installiert werden. Das hat zwar auf die Schwere der Sicherheitslücke keinen Einfluss, wohl aber auf die Hürde. Denn während auf Geräten anderer Hersteller der zumindest aktiv den erstmaligen Sideload manuell ermöglich muss, entfällt dieser Schritt bei Samsung. Schließlich handelt es sich bei Galaxy Apps um keine unbekannte Quelle, die erst autorisiert werden muss.

Inzwischen hat Epic die Lücke aber geschlossen, ab Version 2.1.0 soll der Fehler nicht mehr vorhanden sein. Denn unmittelbar nach dem Hinweis durch Google habe man mit den Arbeiten an einer korrigierten Version des Launchers begonnen. Glücklich ist man über Google aber dennoch nicht. Es sei unverantwortlich gewesen, dass die Lücke so früh bekannt gemacht worden sei, so Epic. Man habe Google gebeten, sie erst nach 90 Tagen zu kommunizieren. Allerdings liegt zwischen dem Entdecken und der Veröffentlichung nur rund eine Woche - Epic wurde am 15. August informiert.