Tags:
Node Thumbnail

นโยบายของ Fortnite for Android ที่ไม่ให้ดาวน์โหลดผ่าน Play Store สร้างความกังวลในแง่ความปลอดภัย และล่าสุดก็มีคนค้นพบช่องโหว่ของตัวติดตั้ง Fortnite for Android แถมคนค้นพบก็คือ... กูเกิล

วิศวกรของกูเกิลลองดาวน์โหลด Fortnite Installer จากเว็บไซต์ของ Epic Games และพบว่าตัวติดตั้งดาวน์โหลดไฟล์ APK ของตัวเกมจริงมาไว้ที่ external storage ก่อน จากนั้นค่อยติดตั้งตัวเกมลงในระบบอีกทีหนึ่ง

ปัญหาคือแอพที่สามารถเข้าถึง external storage ได้สามารถสับเปลี่ยนหรือแก้ไขไฟล์ APK ได้ก่อนที่ Installer จะติดตั้งตัวเกม เปิดช่องให้เกิดการโจมตีได้

ข่าวดีคือทีมงานของ Epic Games เข้ามาชี้แจ้งในฐานข้อมูลบั๊กของกูเกิลว่ารับทราบและแก้บั๊กนี้แล้ว โดยใช้เวลาทั้งหมดเพียง 2 วันหลังจากทราบเรื่อง

ที่มา - Google Issue Tracker, Android Police

No Description

Get latest news from Blognone

Comments

By: ash_to_ash
AndroidWindows
on 25 August 2018 - 10:05 #1067351

ข่าวดีคือทีมงานของ Epic Games เข้ามาชี้แจ้งในฐานข้อมูลบั๊กขอ "งูเกิลว่า..." >>> "กูเกิล"

By: zda98
Windows Phone
on 25 August 2018 - 10:07 #1067352

นี้แหละ ประชาชนตาดำๆใครจะมา ดูแลให้และถ้า hacker รู้ล่ะ

By: checkmate95
Android
on 25 August 2018 - 10:10 #1067353
checkmate95's picture

รอบนี้กูเกิลหล่อเลย แต่มาคิดดูแล้วมันเป็นปัญหาที่ APK หรือ OS กันแน่หว่าแบบนี้

By: iamfalan
iPhoneAndroidWindows
on 25 August 2018 - 10:19 #1067355 Reply to:1067353

คิดแบบลึกๆ คือ จงใจหาช่องโหว่ เพื่อสร้างความไม่มั่นใจ แล้วให้ผู้ใช้บีบ Epic ให้เอา Fortnite มาลง playstore แทน

By: whitebigbird
Contributor
on 25 August 2018 - 10:32 #1067359 Reply to:1067355
whitebigbird's picture

คิดแบบนี้ตายเลยครับ เพราะ whitehat และ ethical hacker เค้าช่วยกันเจาะเพื่อให้ผู้พัฒนาปรับปรุงให้ซอฟท์แวร์มันสมบูรณ์ขึ้น

คิดอะไรด้วยมุมมองแบบนี้ผมว่ามันบั่นทอนครับ

By: Hoo
AndroidWindows
on 25 August 2018 - 15:05 #1067383 Reply to:1067355

แว่บแรกคิดแบบนี้เลย
กรณีนี้จะครอบคลุมการติดตั้งนอก store ทั้งหมด
ไม่ใช่แค่ apk ของ Fortnite

By: mk
FounderAndroid
on 25 August 2018 - 15:24 #1067384 Reply to:1067383
mk's picture

เป็นเรื่อง internal storage vs external storage ครับ ต้นทางอธิบายไว้ละเอียด ไม่ต้องมโนเอง

By: big50000
AndroidSUSEUbuntu
on 25 August 2018 - 10:20 #1067356 Reply to:1067353
big50000's picture

os แบบไร้คำถามเลยครับ Android ใช้ฟอร์แมตตระกูล FAT กับ SD Card ซึ่งไม่มีระบบจัดการสิทธิ์และการจองพื้นที่

By: langisser
In Love
on 25 August 2018 - 11:34 #1067366 Reply to:1067356

ผมคิดว่า APK ครับ ออกแบบมาไม่ดีและไม่ใช้ช่องทางมาตราฐาน
ส่วน OS ในกรณีนี้ถ้ามันเป็นปัญหามันก็ควรจะเป็นปัญหากับแอฟใน play store ด้วยครับและตัว OS เองเข้าใจว่าปิดไม่ให้ลง apk เองเป็นค่าตั้งต้น

By: mr_tawan
ContributoriPhoneAndroidWindows
on 25 August 2018 - 13:51 #1067376 Reply to:1067366
mr_tawan's picture

APK เป็นช่องทางมาตรฐานในการติดตั้งซอฟต์แวร์ครับ ไม่ว่าจะติดจาก Store ติดจาก ADT ติดแบบ Sideload ทุกอย่างวิ่งผ่านทางนี้หมดครับ

เพียงแต่ว่า Play Store เขามีช่องทางพิเศษที่จะ Bypass พวก security ตรงนี้เท่านั้นเอง เหมือนกับว่ามันถูก Trust มาแล้วระดับนึง

เข้าใจว่าฝั่ง Play Store จะทำการดาวน์โหลดไฟล์มาเก็บไว้ใน secure location (ที่ user เข้าถึงไม่ได้โดยตรง) แล้วติดตั้งจากตรงนั้น ทำให้การันตีได้ระดับนึงว่าไม่โดนแก้ไขกลางทาง เท่านั้นเอง


  • 9tawan.net บล็อกส่วนตัวฮับ
By: big50000
AndroidSUSEUbuntu
on 29 August 2018 - 01:49 #1067395 Reply to:1067376
big50000's picture

เสริมให้อีก จุดที่ Play Store ติดตั้ง เป็นพื้นที่ภายในระบบเอง มีบางไฟล์ที่เขียนข้างนอกตามความต้องการของแอปพลิเคชัน ซึ่งพื้นที่ภายในเป็นฟอร์แมต EXT ถูกกำหนดสิทธิ์การใช้งานอย่างชัดเจน แอปประสงค์ร้ายไม่สามารถดักแก้ไขกลางทางได้เลย แต่ถ้าหากเป็นการติดตั้งด้วย APK ผ่านพื้นที่ภายนอก ที่ไม่มีการจัดการด้านสิทธิ์ แอปที่ sign APK มาไม่ดีพออาจถูกดักแก้ไขกลางทางได้

By: big50000
AndroidSUSEUbuntu
on 25 August 2018 - 18:48 #1067357
big50000's picture

ยังอุตส่าห์สละเวลาตรวจสอบให้กับแอปนอกรีต สุดยอดเลย Google นับถือใจมาก ๆ

By: zyzzyva
Blackberry
on 25 August 2018 - 12:21 #1067371

อย่ามองในแง่ร้ายเลย ถ้าจะร้ายจริง Google จะอยู่เฉยๆ รอให้มีการโจมตีเกิดขึ้นจริงแล้วค่อยออกมาเคลื่อนไหว

By: bellpocket on 25 August 2018 - 12:48 #1067374

สร้างความกังวล ไม่จริงหรอก เพราะการเข้าสโตร์ก็ประดุจอยู่ในคุก ซึ่งหลายคนในนี้รักความเป็นอิสระจะตาย ไม่มีทางยอมเข้าคุกสโตร์แน่ๆ

By: mr_tawan
ContributoriPhoneAndroidWindows
on 25 August 2018 - 13:52 #1067377
mr_tawan's picture

ผมว่า ของค่ายอื่นก็น่าจะเคยเจอแบบนี้มาเหมือนกัน 555 Amzaon AppStore อะไรงี้


  • 9tawan.net บล็อกส่วนตัวฮับ