Epic Games – Fortnite für Android enthielt Sicherheitslücke

Epic Games hat vor rund 2 Wochen damit begonnen, die Beta-Version seines Hitgames Fortnite ohne Googles Play Store zu vertreiben. Sehr zum Unmut von Google. Dem kalifornischen Unternehmen entgehen auf diesem Wege geschätzt 50 Millionen Dollar an Umsatz. Nun hat ausgerechnet Google eine Sicherheitslücke im Installer von Fortnite entdeckt.

Um das Spiel Fortnite zu installieren, muss zunächst ein Installer von der Fortnite-Seite heruntergeladen werden. In diesem befand sich laut androidcentral.com eine schwerwiegende Sicherheitslücke: Wurde der Installer runtergeladen und gestartet, dann prüfte dieser nicht weiter die aufzurufende Datei auf Korrektheit durch z.B. eine Prüfsumme, sondern rief ohne Prüfung eine Installationsdatei mit einem vorgegebenen Namen auf. Angreifer könnten an diesem Punkt ansetzen und eine beliebige Datei mit eben diesem Namen aufrufen lassen um Schadsoftware zu installieren.

Die Sicherheitslücke wurde am 15.August durch Google entdeckt und Epic Games daraufhin umgehend informiert. Der fehlerhafte Installer war nur wenige Tage verfügbar. Hinweise auf Nutzung der Sicherheitslücke gibt es bisher nicht. Dennoch ist die gesamte Angelegenheit für Epic Games relativ peinlich, da ausgerechnet Google, dessen Play Store zur Veröffentlichung bewusst umgangen wurde, die Sicherheitslücke entdeckt hatte.

Link zu Fortnite bei Epic Games:
https://www.epicgames.com/fortnite/de/mobile/android/sign-up
Link zu androidcentral.com:
https://www.androidcentral.com/epic-games-first-fortnite-installer-allowed-hackers-download-install-silently