Als Epic Games vor einigen Wochen ankündigte, dass man die Android-Version von Fortnite nicht über den Play Store vertreiben wolle, hatte dies umgehend für Kritik von Sicherheitsexperten gesorgt. Mit dieser Art des Vertriebs würde man die eigenen Nutzer zusätzlichen Gefahren aussetzen. Der Spielehersteller wiederum versicherte umgehend, dass man ein hohes Augenmerk auf Sicherheit lege, um genau das zu verhindern. Eine Behauptung, die nun allerdings durch die Realität stark in Zweifel gezogen wird.

Kritische Lücke

Im Android-Installer für Fortnite befand sich eine kritische Sicherheitslücke, wie der Hersteller mittlerweile bestätigt. Diese hätte von anderen Apps am selben Smartphone genutzt werden können, um beliebige Schadsoftware auf dem Gerät zu installieren. Besonders unerfreulich: Im Falle von Samsung-Geräten hätte eine solche App Zugriff auf Kamera, Mikrofon, Standort und andere sensible Daten erhalten können, ohne dass die User etwas davon bemerkt hätten.

Details

Der entscheidende Fehler ist Epic beim Zwischenspeichern der eigentlichen Fortnite-App passiert: Nach dem eigentlichen Download wird diese nämlich kurz auf dem unter Android als "extern" bezeichneten Speicherbereich abgelagert, auf den alle Apps mit der Storage-Berechtigung vollständigen Zugriff haben. Genau aus diesem Grund rät Google auch sensible Daten, die dort gespeichert sind, digital zu signieren, und beim Laden zu überprüfen, ob sie manipuliert wurden. Genau darauf hat Epic aber vergessen, was es leicht macht, dem Installer eine andere App unterzujubeln, in dem diese einfach über das Original geschrieben wird.

Samsung macht es schlimmer

Vor solchen "Man in the Disk"-Attacken hatten erst unlängst die Sicherheitsforscher von Counterpoint Research gewarnt. Wirklich kritisch wird dieses Problem aber erst durch einen zweiten Faktor: Hat doch Samsung auf seinen Geräten dem Fortnite Installer Zugriff auf private Schnittstellen seines eigenen App Stores "Galaxy Apps" gegeben. Diese ermöglichen es komplett zentrale Schutzmechanismen von Android zu unterlaufen, und Apps mit beliebigen Berechtigungen zu installieren, ohne dass die Nutzer zustimmen müssten. Bei anderen Geräten würde hingegen noch einmal bei den Nutzern nachgefragt, was zumindest den Versuch etwas unbemerkt zu installieren, zunichte macht.

Epic vs Google

Besonders pikant: Aufgespürt wurde das Problem ausgerechnet von Google selbst, wo man umgehend Epic über das Problem informierte. Das Unternehmen hat den Fehler mittlerweile ausgeräumt, was Google dazu veranlasste die Angelegenheit öffentlich zu machen. Dies erbost wiederum den Spielehersteller, in einem Statement zeigt man sich verärgert darüber, dass der Softwarehersteller eine beantragte Wartefrist von 90 Tagen abgelehnt hat, weil man nicht sicher sein könnte, das bereits alle User das Update erhalten haben. Bei Google will man das so nicht stehen lassen, und betont, dass es gängige Praxis sei, Sicherheitslücken umgehend bekannt zu machen, nachdem sie geschlossen wurden.

Hintergund

Die Entscheidung von Epic für Fortnite den Play Store zu meiden hat monetäre Gründe: Kassiert dort doch Google eine Beteiligung von 30 Prozent an allen Umsätzen. Diese empfindet der Spielehersteller als zu hoch, und meint jenseits von Googles App Store mehr Geld einnehmen zu können. Entsprechende Beteiligungen kassieren auch andere Hersteller wie Apple, auch dort ist das Ganze nicht unumstritten. So versucht etwa Netflix seine Kunden dazu zu bringen, ihr Abo jenseits des App Stores abzuschließen, womit die Provision für Apple wegfällt. (Andreas Proschofsky, 26.8.2018)