Fortnite permitiu falha que dava total acesso a invasores

Um dos principais problemas e o mais criticado com relação a Fortnite para Android foi o fato de a Epic Games não disponibilizar o jogo através da Google Play, permitindo apenas que ele fosse baixado através de seu site oficial, a medida segundo a desenvolvedora e evitar ter de pagar a taxa de 30% da Google. Graças a isso, o download só pode ser realizado em seu site oficial. E para tal, é necessário liberar a instalação de aplicativos por fontes desconhecidas, opção velha amiga de quem baixa instaladores para o sistema na internet.

Por isso havia a suspeita de que hackers poderiam usar o jogo para enganar os usuários que gostariam de baixar o game disseminando links falsos pela internet. Porém, em um problema maior do que poderia ser imaginado, foi descoberto que o próprio instalador da Epic trazia um problema que, se bem explorado por hackers, poderia dar acesso total ao controle dos smartphones dos usuários.

Isso tudo por que a instalação do jogo ocorre em duas etapas: primeiro a desenvolvedora te manda instalar um app pequeno, de cerca de 4 MB. Em seguida, esse programa promove o download do jogo em si. A falha ocorria nesse processo, pois era possível que um software previamente instalado no Android pudesse mudar o caminho desse arquivo sem muitas dificuldades. Ele alterava o repositório onde o instalador deveria buscar o arquivo, e então pronto.

Assim, criminosos podiam fazer o programa oficial de Fortnite baixar os mais diversos malwares, e o pior: liberando que eles obtivessem todas as permissões possíveis sem o consentimento do usuário. Ou seja, apps maliciosos poderiam usar de saldo de créditos em transações SMS, ou usar o recurso de tela em primeiro plano para mostrar anúncios incômodos. Fora gravar chamadas telefônicas, obter contatos, e outras infinitas possibilidades.

O problema é muito maior nos dispositivos da Samsung, como o Galaxy Apps é reconhecido como um portal oficial de downloads, nem ao menos era preciso liberar a instalação por fontes desconhecidas.

Por ironia do destino quem reportou o problema foi a Google através do Issue’s Tracker, e então submetida à desenvolvedora. Assim, ela foi corrigida em 48 horas. Porém, nessa janela, usuários ficaram vulneráveis, assim como aqueles que não atualizaram o instalador até agora.

Através da Android Central