Fortnite: Na klar, Google-Mitarbeiter findet eine Sicherheitslücke
Viele haben die Geschichte mitbekommen: Das extrem beliebte Spiel Fortnite ist mittlerweile für Android erschienen. Die Entwickler dachten sich aber: Wir vertreiben mal direkt und ohne den Play Store, da müssen wir dann keine Kohle an Google zahlen, wenn Nutzer Käufe tätigen.
Bei der Bekanntheit dieses Spiels werden sich sicherlich viele bei Google geärgert haben, da gehen viele Millionen Euro verloren für Google. Epic hat sich also eine Infrastruktur für den Installer von Fortnite gebaut und verteilt darüber das Spiel.
Aktuell wurde eine Sicherheitslücke gefunden. Ratet mal von wem. Richtig, Google.
Man könnte nun darüber spekulieren, ob dies so geschah, quasi: „Lass uns Epic mal etwas genauer unter die Lupe nehmen. Und wenn wir etwas finden, nutzen wir dies, um zu zeigen, dass unser Play Store Vorteile hat„.
Jedenfalls fand ein Sicherheitsexperte von Google eine Schwachstelle im Installer von Fortnite, der wohl nicht die Integrität der nachgeladenen APK prüft.
Rein theoretisch wäre es damit möglich, dem Installer gefälschte Inhalte als echte zu verkaufen. Diese würde er dann installieren und dem Schädling alle Rechte auf dem Android-Gerät einräumen.
Google meldete den Fund an Epic und diese baten um die typischen 90 Tage Verschwiegenheit, um alles zu überprüfen, zu fixen und gegebenenfalls eine aktuelle Version zu verteilen.
Epic reagierte extrem schnell, konnte innerhalb des Tages das Problem beheben – selbst die erste Antwort im Issue Tracker von Google geschah sieben (!) Minuten nach Meldung durch Google. Allerdings hielt Google sich nicht an eine erbetene Frist von 90 Tagen, veröffentlichte seinen Fund ein paar Tage später. Das ist kritisch, denn auch wenn das Problem gelöst ist, sind sicherlich noch nicht alle Installer bei den Nutzern aktualisiert und somit theoretisch anfällig.
Ein Epic-Sprecher teilte mit:
Epic schätze die Bemühungen von Google, unmittelbar nach unserer Veröffentlichung auf Android eine gründliche Sicherheitsüberprüfung von Fortnite durchzuführen und die Ergebnisse mit Epic zu teilen, so dass wir schnell ein Update herausgeben konnten, um den entdeckten Fehler zu beheben. Es war jedoch unverantwortlich von Google, die technischen Details des Fehlers so schnell öffentlich bekannt zu geben, während viele Installationen noch nicht aktualisiert wurden und immer noch anfällig waren.
Google hingegen:
Die Sicherheit der Benutzer hat oberste Priorität, und als Teil unserer proaktiven Überwachung auf Malware haben wir eine Schwachstelle im Fortnite Installer identifiziert. Wir haben Epic Games sofort benachrichtigt und das Problem wurde behoben. Nachdem der Patch sieben Tage verfügbar war, haben wir die gefundene Lücke öffentlich gemacht.
Bleibt zu hoffen, dass Google-Mitarbeiter auch so gut bei Apps arbeiten, die im Play Store zu finden sind. Auf der anderen Seite verstehe ich Firmen wie Google und auch Apple, die sich sicherlich ärgern, wenn Geld an den Stores vorbei transferiert wird. Das ist bei Spielen mit In-App-Käufen bei iOS nicht so einfach, wohl aber bei Google im Play Store. Aber bei Apple ist es halt Netflix, die eine Bezahlungsmethode testen, die nur außerhalb von iTunes funktioniert.
Google und Apple haben eine gut funktionierende Infrastruktur für Bezahlungen, die ich gerne nutzen möchte.
Das sind zentrale Stellen für mich, ich will nicht bei jeder Hauruck-Bude meine Zahlungsdaten auf irgendeiner Mullu Mullu-Webseite angeben.
via androidauthority
Losgelöst von der Frage, ob man das als eine Art „Racheakt“ einstufen möchte, bin ich generell kein Fan davon, dass solche Sicherheitslücken überhaupt in der Öffentlichkeit breitgetreten werden. Damit bringt man doch viele erst darauf, sowas auch auszunutzen.
Und genau wegen dem Ausnutzen muss es veröffentlichen. Lücken werden meistens recht schnell gefunden, weil es diverse dunkle Gestalten auch gezielt nach soetwas suchen. Wird eine gefunden, wird sie unter der Hand, z.B. im Darknet, regelrecht gehandelt und aktiv ausgenutzt. Und gerade Beliebte Sachen wie Fortnite sind ein großes Ziel.
Wenn hier andere „gute“ Leute ebenfalls suchen, ist es natürlich wichtig, die Entwickler zu informieren, aber auch die Lücke nach einer „Schonfrist“ zu veröffentlichen. In der Anfangszeit des Internet wurden solche Lücken eben noch nicht so öffentlich gemacht. Das führte dazu, dass viele Firmen die Sachen nicht gefixt hat und so sehr lange aktiv ausgenutzt wurden. So hat der Entwickler halt den Druck seinen Arsch zu bewegen.
Ausserdem wüste ich als Nutzer schon gerne, ob das was ich benutzte sicher ist. Oder würdest Du nicht gerne Wissen, wenn man Dein Smartphone aufgrund einer Lücke entsperren kann? Ich schon, dann kann ich mich gezielt um ein Update kümmern oder notfalls das Phone wechseln. Denn im Darknet würden solche Lücken schnell gedealt.
Security by Obscurity hat noch nie funktioniert.
Hätte Google Epic wirklich eins auswischen wollen, hätten sie die Lücke nicht gemeldet, sondern über die Schwachstelle die betroffenen Geräte infiziert und im Anschluss Epic öffentlich blamiert, indem sie behaupten, dass das im Play Store nicht passiert wäre.
So ein Blödsinn.
Dann hätten sie Epic höchstens die Vorlage für eine saftige Klage gegeben die Epic dann mit Sicherheit gewonnen hätte. Das ist der größte Unfug den ich je gehört habe.
1. Ironie nicht verstanden
2. Selbstverständlich schreibt jeder Kriminelle seinen Namen dazu, damit man sofort weiß wer es gewesen ist*
*ist übrigens auch Ironie falls es nicht deutlich ankam**
**und das hier nennt man Sarkasmus
Dummes Geschwätz von sich geben und am Ende behaupten es ist Ironie oder Sarkasmus. Aha.
Das war übrigens keine Ironie.
„So ein Blödsinn.“
„Dummes Geschwätz..“
Wortschatz und Argumentation eines typischen Journalisten im Jahr 2018. Hoffe die Bewerbung für eine Talkshow ist schon raus. (◔_◔)
Nicht gut, wie wie Google das gemacht hat.
Das Schwachstellen gefunden werden ist gut, dass man das dem betreffenden Softwareanbieter dann mitteilt ist noch besser.
Imho ist es aber üblich, diesem eine *angemessene* Frist für das Nachbessern einzuräumen und erst dann, wenn diese abgelaufen ist oder der Softwareanbieter diese nicht einhält (oder den Fehler ignoriert und gar nichts macht, was wohl auch bei großen Softwarehäusern öfters mal vorkommt) an die Öffentlichkeit zu gehen,
Anstelle von Epic würde ich mir jetzt mal ein paar Apps ansehen, die über den Playstore angeboten werden und bei gefundenen Sicherheitslücken (und ich bin mir sicher, dass man auch da fündig werden wird) genau so wie Googel verfahren.
Ich bin mir ziemlich sicher, dass Google es nicht gerne sieht, wenn sich die Softwareanbieter eine eigene Infrastruktur zum Vertrieb außerhalb des Playstores aufbauen. Als User mag ich das begrüßen oder ablehnen, dass ist erst einmal unerheblich.
Für Google geht es nämlich mit Sicherheit nicht um die Bequemlichkeit oder Sicherheit der User, sondern primär um die entgangenen Einnahmen und sonst nichts!
Die große Frage ist doch, wenn man sich das Proof-of-Concept Video im Issuetracker anschaut: Warum installiert man über den Galaxy Store einen Installer, der dann Fortnite installiert? Für *nicht Samsung* Devices sehe ich es ein, aber für Samsung eigene? Oder ist das wieder so ein „die APK darf maximal XX MB groß sein“ Sache?
Beide App Stores müssen reguliert werden, da sie (bei Android de facto für Europa) Monopole in den jeweiligen OS darstellen. 5% Beteiligung am Umsatz reichen doch allemal aus um die Kosten zu decken und dennoch das Portemonnaie zu füllen. Selbst über 10% kann man diskutieren. Alles darüber hinaus ist absolut inakzeptabel.
Das ist doch bei Abos in beiden Welten schon so. Im ersten Jahr gibt es 30% Abzug und ab dem zweiten Jahr dann nur noch 15%. Ich frage mich nur, was ist, wenn der Kunde kündigt und neu abschließt. Startet dann das Jahr wieder bei Null?
Die größte Sicherheitslücke finde ich, dass viele unwissende Nutzer dazu getrieben werden, die Installation von Apps aus Drittanbieterquellen zuzulassen.
Nein. Die Gefahr, nur noch über wenige Stores an Software und Medien zu kommen ist viel schlimmer als eine mögliche Sicherheitslücke. Die praktische Vorherschaft von Google und Apple ist das allergrößte Risiko an sich.
Meines Erachtens ist da das handeln des Gesetzgebers mehr als überfällig.
1. Smartphones müssen ab Hersteller mit der Möglichkeit kommen, „per Häkchen“ gerootet zu sein.
2. Limitierung auf Stores muss verboten sein. Ohne Option, das dann doch zu aktivieren.
3. Es muss verboten sein, dass z.B. Banking- oder Media-Apps auf Root abfragen und den Dienst verweigern.
Wir müssen Smartphones genau so offen kriegen, wie Desktop-Systeme das bisher waren, bis Apple selbst auf dem Desktop mit Zertifizierung, Signatur und seinem Gatekeeper-Scheiss anfing.
Hersteller dürfen keinerlei Kontrolle über das Gerät haben.
Ja, die Vorherrschaft der Hersteller über ihr eigenes System ist das Letzte. Man sollte die Systeme offen wie ein Scheunentor lassen.
Aus Sicht des Users, der weiß, was er da tut und worauf er sich ein lässt, kann ich das schon verstehen. Aber zu fordern, das gesetzlich festzuschreiben, finde ich schon ziemlich weit hergeholt. Niemand ist gezwungen, ein bestimmtes System einzusetzen, wenn er mit den Bedingungen nicht einverstanden ist.
Au ja, das hat bei Desktop-Systemen ja super funktioniert! Wer ist nicht froh darüber, dass Windows XP den Atomkoffer steuert?
Brain.exe has stopped working…
Ja – hat es. Bis auf die paar Pappnase, die mit dem Pappnasenbrowser und dem Pappnasen-OS ins Netz gehen und auf alle Mailanhänge draufpatschen haben 95% der Leute eigentlich super damit arbeiten können. Ich habe jedenfalls in meinem ganzen Leben noch kein „Malwareschutz“-Schlangenöl auf irgend einem System gebraucht.
Wir müssen endlich dahinkommen, das Leute für ihren Scheiss HAFTEN. Wenn ich ohne Bremsen fahre, hafte ich bei einem Unfall. Wenn ich ein „Flash-Update“ von xxx.foo runterlade und installiere, und anschliessend ist mein Rechner Teil einer DDOS-Attacke, wieso hafte ich eigentlich nicht dafür, mich sagenhaft dumm angestellt zu haben?
Auch wenn Google mir ein Dorn im Auge ist und ich es vermeide wo ich kann, denke ich, daß sie richtig gehandelt haben. Sie haben es gemeldet, es wurde gefixt und erst ein paar Tage danach meldete es Google. Natürlich müssen die Probleme einer gefixten Software öffentlich benannt werden, damit die Nutzer wissen, daß und warum sie aktualisieren sollten.
Ach, sieben Tage später mahnt Google also die Fortnite-User zur Aktualisierung, so what? Die suchen die App trotzdem im PlayStore, soll Google dort auch noch die Updates bereitstellen für diejenigen, die das nicht selbst erledigen? Mit diesem zickigen „Unverantwortlich“ von Epic ging der Punkt für mich an Google.
@ Jörg:
(fast*) Volle Zustimmung, sehe ich genauso!
* Zu Punkt 3 kann und will ich nichts sagen. Meiner Meinung nach ist Online-Banking eine absolut unsichere Sache. Ich nutze es nicht und habe es auch in Zukunft nicht vor (sofern es in Zukunft von Seiten der Banken nicht vorgegeben wird).
Einen weiterer Punkt wäre für mich sehr wichtig:
Android OHNE!!! vorinstallierte Google Apps. Meinetwegen sollen sie dann einen Aufschlag von 15-25€ pro Gerät verlangen. Das wäre mir ein Smartphone ohne Spionage-Apps, die man noch dazu nicht los wird, allemal wert (Ja, ich weiss, LineageOS…, lässt sich aber nicht auf alllen Geräten installlieren. Und da immer mehr Herstelller den Bootloader sperren weden es eher weniger als mehr).
Ich persönlich brauche keine einzige der Google-Apps, und es gibt ja auch Alternativen.
Ein weiterer Vorteil von Google freien Smartphones wäre eine bessere Akkulaufzeit.
Android ist doch ein freies System und jeder Hersteller kann es kostenfrei ohne Google-Apps anbieten.
Doch kein Kunde möchte ein Android Handy ohne Playstore….
@caschy Hmmm. Als Betreiber einer solchen Hauruck-Bude, die Spiele sowohl im Web als auch in Play/App Store vertreibt finde ich Deine Aussage über die Storeshares und alternative Zahlmethoden recht kurz gedacht.
Zu allererst ist es so, dass unsere und andere Mullu Mullu Webseiten überhaupt nicht mit Deinen Zahldaten in Berührung kommen, da kleinere Unternehmen in der Regel sogenannte Payment Service Provider einsetzen, da sie sich nämlich nicht leisten können die recht hohen Ansprüche für die PCI compliance zu erfüllen die man haben muss um eben so etwas wie Kreditkartendaten direkt zu speichern. Heißt man benutzt Unternehmen wie Paypal, Skrill, Ogone oder Xsolla um online Zahlungen zu ermöglichen und bekommt von denen lediglich die Bestätigung, dass die Zahlung erfolgt ist.
Zum anderen finde ich es bedenklich, wenn man nur „weil es bequemer ist“ mit Apple / Google zu zahlen, nicht darüber nachdenkt, was es eigentlich bedeutet 30% vom Bruttoumsatz an ein amerikanisches Unternehmen abzudrücken, weil sie das Vertreibungsmonopol haben.
Um als Unternehmen eine erfolgreiches Spiel entwickeln und anbieten zu können muss man Werbung dafür machen, also Nutzer einkaufen. Wenn man jetzt mal als Beispiel mit einem Nutzer über eine Lifetime von 2 Jahren in dem man ihm ein stets aufwändig weiterentwickeltes und aktualisiertes Spiel anbietet, es dadurch schafft 10€ einzunehmen, davon aber 3€ an Apple/Google gehen und nochmal sowas wie 4-5€ an Facebook für die initiale Werbung, dann sollte einem schon klar sein, dass es grenzwertig wird, hier die Gehälter für die Entwickler zahlen zu können, weil der gesamte Gewinn in die USA wandert.
Ein Vertriebsweg am Store vorbei ist für einen normalen Entwickler nicht möglich, da man nur im Store gefunden wird und Nutzer nicht bereit sind unbekannte Spiele aus Drittquellen zu installieren. Wenn man so groß ist wie Fortnite ist das halt was anderes und ich finde es gut, dass sie es machen.
Die Alternative ist, die Dinge die man im Store kauft 30% teurer zu machen, so wie Google es bei der iOS Youtube App gemacht hat.
Ist dir es das denn wert? Schließt Du Dein Youtube Premium Abo in iOS ab weil das so convenient ist? Oder machst Du das vielleicht dann doch im Browser, weil da merkst du ja mal selbst den Unterschied, den sonst halt nur der Entwickler merkt.
Ganz so einfach ist dieses Thema dann mMn doch nicht…
Mit dem Google PlayStore und dem iOS AppStore haben die beiden Betreiber riesige Marktplätze geschaffen, die es ohne sie gar nicht gäbe und die auch für Softwarevertreiber luxuriös zugänglich sind in Vergleich zu Zeiten, in denen physische Datenträger unter die Leute gebracht wurden. Inwieweit diese 30% tatsächlich überzogen sind, ist schwer zu sagen, aber daß Epic für die Masse der Softwareentwickler über Fortnite eine Alternative entwickelt, ist ausgeschlossen.
Ne du, Caschy liegt da eigentlich ganz richtig,
Ich habe kein Skrill, Ogone oder Xsolla und ich will sicherlich nicht jeder Indy-Klitsche eine Abbucherlaubnis für PayPal einräumen.
Ich möchte es easy und übersichtlich. Deshalb nehme ich auch das was ich bereits habe. Wenn Apple und Google mir das anbieten. Perfekt.
Wenn nicht? Dann gibt es auch andere gute Spiele.
@ max:
Android ist eben kein freies (Betriebs) System.
Mir scheint, du hast da was verwechselt. Es ist kostenfrei (gratis) für die Hardwarehersteller. Das ist aber eben nicht frei. Das war vlt. mal so, bevor Google Android gekauft hat. Und übrigens, es ist auch nicht (komplett) OpenSource, da Teile des Quellcodes von Google nicht zugänglich gemacht werden.
Davon abgesehen geht es mir weniger um den Playstore (aber auch da gibt es Alternativen). Recht hast du allerdings damit, daß der Durchschnitts-User von Android ohne vorinstallierten Play-Store vermutlich aufgeschmissen wäre.
Nein, ich möchte keine Google Maps, Chrome, Google Drive usw., usw., dafür wäre ich bereit einen Aufschlag oder besser gesagt einen finanziellen Ausgleich an Google zu zahlen.
Der springende Punkt ist nämlich, das bei einem nicht gerootetem Gerät diese Spionage-Apps nicht deinstaliierbar sind. Und selbst wenn man die Dienste deaktiviert laufen sie unbemerkt im Hintergrund weiter.