พบช่องโหว่ในตัวติดตั้ง Fortnite Android โดยทีมงานกูเกิล, บั๊กถูกแก้ไขแล้ว

By mk

on 25 August 2018 - 10:00 Tag: Fortnite, Android, Security, Google, Epic Games

Fortnite

นโยบายของ Fortnite for Android ที่ไม่ให้ดาวน์โหลดผ่าน Play Store สร้างความกังวลในแง่ความปลอดภัย และล่าสุดก็มีคนค้นพบช่องโหว่ของตัวติดตั้ง Fortnite for Android แถมคนค้นพบก็คือ... กูเกิล

วิศวกรของกูเกิลลองดาวน์โหลด Fortnite Installer จากเว็บไซต์ของ Epic Games และพบว่าตัวติดตั้งดาวน์โหลดไฟล์ APK ของตัวเกมจริงมาไว้ที่ external storage ก่อน จากนั้นค่อยติดตั้งตัวเกมลงในระบบอีกทีหนึ่ง

ปัญหาคือแอพที่สามารถเข้าถึง external storage ได้สามารถสับเปลี่ยนหรือแก้ไขไฟล์ APK ได้ก่อนที่ Installer จะติดตั้งตัวเกม เปิดช่องให้เกิดการโจมตีได้

ข่าวดีคือทีมงานของ Epic Games เข้ามาชี้แจ้งในฐานข้อมูลบั๊กของกูเกิลว่ารับทราบและแก้บั๊กนี้แล้ว โดยใช้เวลาทั้งหมดเพียง 2 วันหลังจากทราบเรื่อง

ที่มา - Google Issue Tracker, Android Police

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

ข่าวดีคือทีมงานของ Epic Games

ash_to_ash Sat, 25/08/2018 - 10:05

ข่าวดีคือทีมงานของ Epic Games เข้ามาชี้แจ้งในฐานข้อมูลบั๊กขอ "งูเกิลว่า..." >>> "กูเกิล"

นี้แหละ ประชาชนตาดำๆใครจะมา

zda98 Sat, 25/08/2018 - 10:07

นี้แหละ ประชาชนตาดำๆใครจะมา ดูแลให้และถ้า hacker รู้ล่ะ

รอบนี้กูเกิลหล่อเลย

checkmate95 Sat, 25/08/2018 - 10:10

รอบนี้กูเกิลหล่อเลย แต่มาคิดดูแล้วมันเป็นปัญหาที่ APK หรือ OS กันแน่หว่าแบบนี้

คิดแบบลึกๆ คือ จงใจหาช่องโหว่

iamfalan Sat, 25/08/2018 - 10:19

คิดแบบลึกๆ คือ จงใจหาช่องโหว่ เพื่อสร้างความไม่มั่นใจ แล้วให้ผู้ใช้บีบ Epic ให้เอา Fortnite มาลง playstore แทน

คิดแบบนี้ตายเลยครับ เพราะ

whitebigbird Sat, 25/08/2018 - 10:32

คิดแบบนี้ตายเลยครับ เพราะ whitehat และ ethical hacker เค้าช่วยกันเจาะเพื่อให้ผู้พัฒนาปรับปรุงให้ซอฟท์แวร์มันสมบูรณ์ขึ้น

คิดอะไรด้วยมุมมองแบบนี้ผมว่ามันบั่นทอนครับ

แว่บแรกคิดแบบนี้เลย

Hoo Sat, 25/08/2018 - 15:05

แว่บแรกคิดแบบนี้เลย
กรณีนี้จะครอบคลุมการติดตั้งนอก store ทั้งหมด
ไม่ใช่แค่ apk ของ Fortnite

เป็นเรื่อง internal storage

mk Sat, 25/08/2018 - 15:24

เป็นเรื่อง internal storage vs external storage ครับ ต้นทางอธิบายไว้ละเอียด ไม่ต้องมโนเอง

os แบบไร้คำถามเลยครับ Android

big50000 Sat, 25/08/2018 - 10:20

os แบบไร้คำถามเลยครับ Android ใช้ฟอร์แมตตระกูล FAT กับ SD Card ซึ่งไม่มีระบบจัดการสิทธิ์และการจองพื้นที่

ผมคิดว่า APK ครับ

langisser Sat, 25/08/2018 - 11:34

ผมคิดว่า APK ครับ ออกแบบมาไม่ดีและไม่ใช้ช่องทางมาตราฐาน
ส่วน OS ในกรณีนี้ถ้ามันเป็นปัญหามันก็ควรจะเป็นปัญหากับแอฟใน play store ด้วยครับและตัว OS เองเข้าใจว่าปิดไม่ให้ลง apk เองเป็นค่าตั้งต้น

APK

mr_tawan Sat, 25/08/2018 - 13:51

APK เป็นช่องทางมาตรฐานในการติดตั้งซอฟต์แวร์ครับ ไม่ว่าจะติดจาก Store ติดจาก ADT ติดแบบ Sideload ทุกอย่างวิ่งผ่านทางนี้หมดครับ

เพียงแต่ว่า Play Store เขามีช่องทางพิเศษที่จะ Bypass พวก security ตรงนี้เท่านั้นเอง เหมือนกับว่ามันถูก Trust มาแล้วระดับนึง

เข้าใจว่าฝั่ง Play Store จะทำการดาวน์โหลดไฟล์มาเก็บไว้ใน secure location (ที่ user เข้าถึงไม่ได้โดยตรง) แล้วติดตั้งจากตรงนั้น ทำให้การันตีได้ระดับนึงว่าไม่โดนแก้ไขกลางทาง เท่านั้นเอง

เสริมให้อีก จุดที่ Play Store ติดตั้ง เป็นพื้นที่ภายในระบบเอง มีบางไฟล์ที่เขียนข้างนอกตามความต้องการของแอปพลิเคชัน ซึ่งพื้นที่ภายในเป็นฟอร์แมต EXT ถูกกำหนดสิทธิ์การใช้งานอย่างชัดเจน แอปประสงค์ร้ายไม่สามารถดักแก้ไขกลางทางได้เลย แต่ถ้าหากเป็นการติดตั้งด้วย APK ผ่านพื้นที่ภายนอก ที่ไม่มีการจัดการด้านสิทธิ์ แอปที่ sign APK มาไม่ดีพออาจถูกดักแก้ไขกลางทางได้