Google descubre una importante vulnerabilidad en Fortnite para Android

Google ha descubierto una vulnerabilidad en el instalador de Fortnite para Android que podría haber permitido a distintos atacantes instalarte cualquier malware en el teléfono móvil sin que te hubieras dado cuenta.

Google acaba de publicar que han descubierto una vulnerabilidad muy grave en el primer instalador de Fortnite para Android que permitirá a cualquier aplicación maliciosa de tu teléfono descargar malware en segundo plano sin que te dieras cuenta. Google informó de este fallo de seguridad a Epic Games el pasado 15 de agosto, y ahora acaban de hacer público el fallo tras haberse solventado.

Y es que cuando el usuario va a descargar Fortnite para Android desde la página web de Epic Games, no se descarga realmente el juego, sino un instalador que es el que descarga de manera remota la APK real del juego. El problema es que este instalador no es para nada seguro, y puede acabar instalando cualquier otra cosa que se llame exactamente lo mismo, pero si ser necesariamente el juego.

El problema es que el instalador no comprueba la firma del APK antes de que comience la instalación, sino simplemente el nombre del paquete. Cualquier aplicación maliciosa podría reemplazar la APK de Fortnite después de completar el proceso de descarga, antes de que el usuario acepte el proceso de la instalación.

De esta manera cualquier aplicación maliciosa que ya tengamos instalada en nuestro Android, algo bastante común hoy día, puede interceptar esa solicitud del instalador de Fortnite para bajarse cualquier otra cosa que no sea juego.

Y es que para poder descargar Fortnite en Android, necesitas tener configurado en tu teléfono móvil que se habiliten las instalaciones de fuentes desconocidas. Debido a la forma en que funciona esta trampa, no existiría ninguna indicación durante el proceso de instalación de que realmente estés descargando Fortnite para Android o una aplicación completamente diferente. Es uno de los problemas lógicos al no poder descargar Fortnite desde Google Play.

Peor lo tienen los usuarios de teléfonos Samsung que obtienen la aplicación a través de Galaxy Apps dado que ni siquiera hay un primer aviso para habilitar el tema de fuentes desconocidas. Con este fallo, cualquier aplicación puede otorgarse todos los permisos posibles sin tu consentimiento adicional.

Cómo instalar Fortnite en cualquier móvil Android

Por suerte Epic Games solucionó el fallo de seguridad solo 48 horas después del aviso de Google pero puede que tu teléfono esté en peligro si no has actualizado la aplicación en los últimos días.

A partir de la versión 2.1.0 del instalador de Fortnite es la segura porque ya cuenta con el parche de seguridad que evita este ataque, así que debes asegurarte que tienes al menos esta versión. Si tienes configurado tu teléfono para que todas las aplicaciones se actualicen de manera automática no deberías preocuparte, pero si no es el caso debes ir inmediatamente a actualizar la aplicación de Fortnite en tu teléfono móvil y ser consciente de todas las aplicaciones que te has instalado en los últimos días por si alguna es maliciosa.

Al respecto de este fallo, desde Google se señala que “la seguridad del usuario es nuestra principal prioridad y como parte de esto hacemos un monitoreo proactivo e identificamos una vulnerabilidad en el instalador de Fortnite. Inmediatamente notificamos a Epic Games y arreglaron el problema”.

Sin embargo desde el Epic Games están realmente enfadados con Google por haber destapado esta vulnerabilidad antes de tiempo, dado que consideran que todavía hay personas que pueden contar con la versión inicial del instalador de Fortnite y podrían estar expuestos a peligros.

Descubre todo el merchandising de Fortnite: camisetas, tazas, fundas para móvil... ¡hasta adornos comestibles para tartas!

De esta manera, el consejero delegado de Epic Games, Tim Sweeney, señala que “ha sido irresponsable por parte de Google divulgar públicamente todos los detalles del fallo de manera muy rápida, mientras que muchas instalaciones aún no han sido actualizadas y siguen siendo vulnerables. Un ingeniero de seguridad de Epic solicitó a Google que retrasaran la divulgación pública durante los típicos 90 días para permitirnos que esta actualización se instalara más ampliamente en todo el conjunto de usuarios, pero Google se negó”.

A lo que prosigue añadiendo que “una compañía tan poderosa como Google debería ofrecer un tiempo de desglose más responsable que la actual, y no poner en peligro a los usuarios por sus esfuerzos en contra de la distribución de Fortnite fuera de Google Play”.