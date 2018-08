De Android-versie van Fortnite, het populaire 'battle royale' schietspel die begin augustus gelanceerd werd, was niet veilig. Dat meldt Google. Het bedrijf heeft een kwetsbaarheid gevonden in de installer van de Android-app, en het technische rapport daarover. Door het lek zouden criminelen gebruik kunnen maken van de installer om bijvoorbeeld een eigen malware-app mee te smokkelen.

De bekendmaking is opmerkelijk, omdat uitgever Epic Games de opvallende beslissing nam om de Play Store te omzeilen met zijn Fortnite app. Gebruikers die het Android-game willen installeren, moeten dat op de site van Epic Games zelf downloaden. Daardoor verdient Google niet de gebruikelijke 30 procent aan elke transactie, maar werd ook gevreesd dat een deel van de veiligheidsmaatregelen van de Play Store wegvallen bij het installeren van het spel. Dat Google nu zelf met de kwetsbaarheid naar buiten komt, kan dus gezien worden als een soort waarschuwing, niet alleen naar gebruikers, maar ook naar app-bouwers.

De kwetsbaarheid in kwestie maakt het mogelijk om zogeheten 'man-in-the-disk' aanvallen uit te voeren. Daarvoor moet er al wel een malware op het toestel aanwezig zijn. Volgens Google kan elke app met toestemming om naar externe opslag te schrijven, zichzelf voordoen als de Fortnite app. Zodra een gebruiker de Fortnite Launcher vertelt om het game te downloaden, zouden andere apps zichzelf op die plek kunnen zetten, nadat de beveiligingschecks al gebeurd zijn. De installer zou zo'n valse app vervolgens ook automatisch alle toestemmingen geven, waaronder toegang tot microfoon, locatie of sms.

Het lek is ondertussen gepatcht en was ongeveer een week na de lancering van het game actief. Tim Sweeney, CEO van Epic Games, reageert ondertussen op Twitter verbolgen op het veiligheidsrapport. Volgens hem is Google te vroeg met de bug naar buiten gekomen, en heeft zijn bedrijf niet genoeg tijd gehad om te zorgen dat alle installers bij gebruikers zijn geupdated.

We asked Google to hold the disclosure until the update was more widely installed. They refused, creating an unnecessary risk for Android users in order to score cheap PR points.