Fortnite
Epic Gamesの大人気バトルロイヤルゲーム「Fortnite(フォートナイト)」。そのAndroid用ベータ版のインストーラーに、深刻な脆弱性が存在したことが明らかとなりました。

この脆弱性を発見したのは、Googleのセキュリティチーム。この問題を8月15日にEpicに通知し、同社から脆弱性が修正されたと報告を受けた後に、情報を公開したとのこと。現在では、すでに脆弱性が解消された新バージョンが配布中です。Android版「Fortnite」ベータ版はサムスンのGalaxy Note9に先行提供され、続いてEpicサイトにて招待制でそれ以外の端末にも配信が始まりました。いずれにせよ、「Google Playストアを経由せず(手数料が高すぎるので)独自配信」という形です。



Fortniteベータ版はいきなりゲーム全体をダウンロードするわけではなく、まずインストーラーをダウンロードする手順を踏みます。このアプリは「ゲーム本体をEpicサイトからダウンロードして、インストールする」という単純なものです。

Googleセキュリティチームが発見したのは、この過程で「Epicに送られるリクエストがハイジャックされ、別の何かをダウンロードさせられる可能性が非常に高い」ということ。具体的には「man-in-the-disk」攻撃(Androidの外部ストレージ経由で処理を乗っ取る)だとされています。

実際の悪用には、あらかじめ脆弱性を突くアプリをスマホに仕込む必要があります。が、Fortniteの人気を考えれば、狙いをつけられている可能性も高いはず。また悪意あるアプリは既知の脆弱性を複数想定して作られているため、Fortniteに特化していなくても攻撃に晒される危険があります。

Google Playを経由しない場合は、ユーザーが意識的に「提供元不明のアプリのインストール」を許可することで、一応のセキュリティは保たれています。

が、提供元チェックが適用されるのはインストーラー本体だけで、その後にForniteと違うアプリがダウンロードされても気づくきっかけはありません。一連の流れ作業の中で、マルウェアのインストールが完了してしまうわけです。

さらに悪いことに、Galaxyシリーズの場合はインストーラーを入手できるGalaxy Apps自体が既知のソースであるため、最初から終わりまで「提供元不明」のチェックが機能しません。

Epicによると、この脆弱性は通知されてから48時間以内に修正され、現在ではバージョン2.10にアップデートされているとのこと。何らかの理由で過去版をダウンロードした場合は、起動すると2.10以降のインストールを促すメッセージが表示されると述べられています。

Googleの広報担当者は、今回の件について次のようにコメントしています。

ユーザーセキュリティは最優先事項であり、マルウェア予防を注視する一環として、Fortniteインストーラーで脆弱性を確認しました。私たちはすぐにEpic Gamesに通知し、問題を修正しました

そしてEpicのCEOであるTim Sweeney氏は、以下のコメントを寄せています。

Android版Fortniteのリリース直後に、Googleが詳細なセキュリティ監査を実施し、その結果をEpicと共有したことを感謝します。おかげで、発見された欠陥を迅速に修正することができました


もっとも、ここで確認できるEpicとGoogleのエンジニアのやり取りは、決して和気あいあいとしたものではありません。前者が公開を90日間延期するように要請しているものの、後者は拒否しています。

まだ対策済みアップデートが行き渡らず、多くのデバイスが依然として危険にさらされているうちに、脆弱性を広く公開することはハッカーの攻撃を招く危険もあります。あえて公開に踏み切ったGoogleには、「Google Playを抜きにしたFortnite配信」への特別な思惑があるのかもしれません。
Source: AndroidCentral