三星手機用戶下載要塞英雄小心惡意程式上身! 新聞媒體:iThome 文/李建興 | 2018-08-28發表 Google發現Epic Games的熱門遊戲要塞英雄在三星裝置的遊戲安裝器，存在磁碟人（ Man-in-the-disk，MITD）漏洞，在Epic Games完成修補後，隨即公開漏洞細節，此舉引 來Epic Games執行長Tim Sweeney批評Google藉機報仇。 行動裝置熱門遊戲要塞英雄（Fortnite）近日被Google安全團隊揭露，其安裝器存在嚴重 漏洞，極易被駭客利用來入侵用戶手機。Google點名三星裝置因為其專有的API，讓駭客 有機可乘利用設計不良的要塞英雄安裝器，進行磁碟人（Man-in-the-disk，MITD）攻擊 ，讓用戶在不知不覺中安裝惡意程式。8月15日遊戲公司Epic Games獲Google通知後，已 經完成漏洞修補，但Epic Games執行長隨後也向媒體抱怨，認為Google太快揭露漏洞細節 ，可能影響未更新的用戶端。 Android玩家在Google Play上下載的要塞英雄應用程式並非遊戲本體，而是遊戲的下載器 ，想要遊玩要塞英雄的玩家，都必須先到Google Play下載遊戲安裝應用程式，接著透過 瀏覽器到Epic Games下載遊戲本體並進行安裝。這樣的Android應用程式發布方式並非典 型的作法，而且存在風險，玩家必須要自己確認是從Epic Games網站下載應用程式，而非 一個可能是偽造的遊戲網站，才同意未知來源APK的安裝。 手機上的應用程式會依造請求從網路上下載內容，駭客只要攔截該請求，就能用來下載任 意的惡意程式，而且原本發出請求的應用程式並不會知道下載的內容遭到置換，甚至會主 動啟動惡意程式。Google的安全團隊發現，駭客要攔截要塞英雄安裝器發出的遊戲下載請 求並不難，而且安裝器也不知道下載回來的檔案是否安全。 駭客能夠藉此發動磁碟人攻擊，這種攻擊方法就像是駭客躲藏在儲存空間中一樣，遊戲安 裝器下載回來的APK檔案，可能會被第三方應用程式置換成惡意軟體。不過，這個漏洞目 前僅發生在三星裝置上，根據Google的安全報告，在三星手機上，要塞英雄安裝器使用了 三星專有的應用程式API，三星的API會將下載的檔案存在Android的外部貯存器（ External Storage）中，而由於外部貯存器輔助空間是供眾多應用程式共享的硬體資源， 因此只要WRITE_EXTERNAL_STORAGE屬性設為允許，則應用程式便能將資料放進外部貯存器 中，但這也是問題所在。 三星的API僅檢查正在安裝的APK是否與套件名稱com.epicgames.fortnite相符，而在 Android上套件名稱安全性並不高，輕易就可以創建一個通過這項檢查的應用程式，因此 惡意的應用程式可以等待Fortnite安裝程式下載更新完成後，在安裝開始之前，換掉 com.epicgames.fortnite這個APK，要塞英雄安裝器便會不疑有他的安裝惡意的應用程式 ，而且當APK的targetSdkVersion為22，也就是Android 5.1 Lollipop或更低版本，將被 授權安裝過程需要的任何權限，甚至不需要用戶同意。 Google於8月15日私下知會了Epic Games該漏洞，Epic Games也在第二天釋出漏洞更新啟 動器2.1.0版，而正如Google建議的，Epic Games修補該漏洞的方法，就是把原本預設儲 存從公共外部儲存移動到內部儲存。 這個漏洞也曝露了兩間企業的微妙關係，Epic Games為了規避Google Play商店程式內購 買30％的抽成，僅在商店中發布安裝器，遊戲本體則由自家發布，這無疑是影響了Google 的營收，同時也讓Android用戶面臨安全威脅。Google在確定Epic Games完成漏洞修部後 ，隨即公開了漏洞細節，而這個動作引來Epic執行長Tim Sweeney的批評。 Tim Sweeney向外國媒體Mashable抱怨，雖然他們很感謝Google在要塞英雄發布Android版 本後，隨即進行安全審核，並且也向他們報告了漏洞細節，幫助他們更新修復應用程式， 但是Google揭露漏洞的技術細節過程並不負責任，有許多裝置尚未更新到要塞英雄最新版 本，仍然容易受到攻擊，Epic Games曾要求Google延遲90天公開漏洞，但受到Google的拒 絕。Tim Sweeney認為，Google不能因為Epic Games在Google Play商店外發布遊戲，就把 使用者的安全拿來作為反擊的武器。 新聞連結:https://www.ithome.com.tw/news/125521 心得:雖然我沒玩要塞英雄，之前看到一堆人說在samsung上架不在android上 現在好了吧!!!~人家google幫你抓蟲，沒有隨即公布，是先知會你遊戲公司。 最後還敢抱怨google太早公布。 幫你抓蟲就不錯了，而且上架在PLAY商店有問題是google要幫擔責任的好嗎? 消費者只會覺得你google沒做好把關，有把關了還要被遊戲公司抱怨。 這是慣老闆心態全世界都有吧!!! -- 某位主管在被投訴檢舉後，確定有問題 在被解職前，自行請辭。果然妙的作風 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 121.150.240.117 ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1535841065.A.4BB.html