Na semana passada, um engenheiro do Google fez uma publicação na empresa Issue Tracker, a explicar uma vulnerabilidade descoberta na aplicação de inicialização Fornite. Quando a aplicação faz o download do APK do jogo, ela verifica a assinatura para garantir que o arquivo não tenha sido adulterado. No entanto, o lançador não verifica a integridade do APK antes do início do processo de instalação - apenas o nome do pacote.

O engenheiro apontou que uma aplicação mal-intencionada com a permissão WRITE_EXTERNAL_STORAGE poderia substituir o APK Fortnite imediatamente após o processo de download ser concluído, mas antes que o utilizador realmente aceitasse a instalação.

Nos dispositivos Samsung, o instalador do Fortnite realiza a instalação do APK silenciosamente por meio de uma API privada do Galaxy Apps. Esta API verifica se o APK que está a ser instalado tem o nome do pacote com.epicgames.fortnite. Consequentemente, o APK falso com um nome de pacote correspondente pode ser instalado silenciosamente.

Se o APK falso tiver um targetSdkVersion de 22 ou menos, ele receberá todas as permissões solicitadas no momento da instalação. Essa vulnerabilidade permite que uma aplicação no dispositivo sequestre o instalador do Fortnite, em vez disso, instale um APK falso com quaisquer permissões que normalmente exijam a autorização do utilizador.

A Epic Games solicitou originalmente ao Google que esperasse 90 dias antes de publicar o exploit, como é uma prática padrão (para que aplicações maliciosas não possam aproveitá-la antes que uma correção seja lançada). Uma correção começou a ser lançada um dia depois do problema ser originalmente relatado. Em vez de esperar 90 dias, o Google tornou a página pública depois de apenas uma semana, "de acordo com as práticas de divulgação padrão do Google".

Eu não sou fã da decisão da Epic Games de ignorar a Play Store, mas não posso criticar a empresa neste caso específico. Um funcionário da Epic respondeu ao relatório inicial apenas sete minutos após a publicação, e uma correção começou a ser lançada para os utilizadores no dia seguinte. Isto não teria sido um problema se a Fortnite estivesse na Play Store, mas a resposta foi incrivelmente rápida.