Games
25.08.2018

Fortnite für Android mit extremer Sicherheitslücke ausgeliefert

Wie erst jetzt bekannt wurde, baute Epic Games beim Android-Installer für das Kult-Game Fortnite gehörig Mist.

Die Entscheidung von Epic Games, Fortnite nicht über den offiziellen Google Play Store zu vertreiben, wohl um Google nicht an den In-App-Käufen beteiligen zu müssen, ist bei Google, aber auch unter Sicherheitsexperten auf viel Kritik gestoßen. Bereits am ersten Tag, als Epic den Android-Installer über seine eigene Webseite zum Download anbot, passierte genau das, wovor viele warnten. Die Datei wies eine extreme Sicherheitslücke auf, die Hackern Tür und Tor öffnete.

Malware im Hintergrund

Da der Installer, über den das komplette Spiel schließlich heruntergeladen wird, schlecht programmiert war, erlaubte er es Angreifern jede beliebige, naturgemäß auch bösartige, App auf einem Android-Gerät zu installieren - und zwar, ohne Wissen der User und mit vollem Zugriff auf sämtliche Funktionen wie Mikrofon, Kamera, GPS-Ortung, Speicher, SMS und die Telefonie. Denn in dem Moment, in dem Android-User den tatsächlichen Download des Spiels bestätigten, konnte dieser Prozess im Hintergrund gekapert werden.

Schlimmer noch: Mit Drücken des Start-Knopfs, der eigentlich für den Start von Fortnite vorgesehen war, kann die installierte Malware gestartet werden. Durch die Autorisierungsprozesse von Android bekommt weder der Fortnite-Installer noch der Nutzer irgendetwas davon mit, da alle Vorgänge durch den Installationsprozess von Fortnite verschleiert werden.

Google deckt die Lücke auf

Entdeckt hat die schwere Sicherheitslücke ausgerechnet Google. Ein Mitarbeiter verständigte Epic Games am 15. August sofort, nachdem der Installer zum Download angeboten wurde. Der Spieleentwickler reagierte schnell und schickte knapp zwei Tage später eine gesäuberte Version hinterher, welche die Lücke beheben soll. Wer auf Nummer sicher gehen will, sollte folglich den Fortnite-Installer aktualisieren. Die Version, bei der die Schwachstelle behoben wurde, ist 2.1.0. Aktuell ist nicht bekannt, ob die Lücke bereits ausgenutzt wurde.

Dass Google Epic Games nicht so leicht davonkommen lassen will, beweist der Umstand, dass die Lücke bereits eine Woche nach der Reparatur öffentlich gemacht wurde. Google argumentiert, dass das Umgehen des offiziellen Play Stores ein Sicherheitsrisiko darstellt, da Nutzer auf der Suche nach dem Game bei Fake-Webseiten landen können. Außerdem müssen User bei der Installation von Apps aus externen Quellen auch Berechtigungen erteilen, die das verwendete Android-Phone theoretisch verwundbarer macht.

Epic Games kritisiert Google

Epic Games wiederum reagierte auf die öffentliche Bloßstellung ebenfalls verschnupft und kritisierte seinerseits Google dafür. Epic-CEO Tim Sweeney bezeichnete die Vorgangsweise von Google gegenüber Androidcentral als "unverantwortlich." Normalerweise warte man 90 Tage, um so eine Lücke öffentlich zu machen, damit Nutzer mehr Zeit hätten, das notwendige Update zu installieren. Durch Googles Vorgangsweise seien nun einige User gefährdet, die noch den Installer mit Sicherheitslücke auf ihrem Handy haben, kritisiert Sweeney.