原标题：三星手机用户下载要塞英雄小心恶意程式上身!

行动装置热门游戏要塞英雄（Fortnite）近日被Google安全团队揭露，其安装器存在严重漏洞，极易被骇客利用来入侵用户手机。Google点名三星装置因为其专有的API，让骇客有机可乘利用设计不良的要塞英雄安装器，进行磁碟人（Man-in-the-disk，MITD）攻击，让用户在不知不觉中安装恶意程式。8月15日游戏公司Epic△Games获Google通知后，已经完成漏洞修补，但Epic△Games执行长随后也向媒体抱怨，认为Google太快揭露漏洞细节，可能影响未更新的用户端。

Android玩家在Google△Play上下载的要塞英雄应用程序并非游戏本体，而是游戏的下载器，想要游玩要塞英雄的玩家，都必须先到Google△Play下载游戏安装应用程序，接着通过浏览器到Epic△Games下载游戏本体并进行安装。这样的Android应用程序发布方式并非典型的作法，而且存在风险，玩家必须要自己确认是从Epic△Games网站下载应用程序，而非一个可能是伪造的游戏网站，才同意未知来源APK的安装。

手机上的应用程序会依造请求从网络上下载内容，骇客只要拦截该请求，就能用来下载任意的恶意程式，而且原本发出请求的应用程序并不会知道下载的内容遭到置换，甚至会主动启动恶意程式。Google的安全团队发现，骇客要拦截要塞英雄安装器发出的游戏下载请求并不难，而且安装器也不知道下载回来的档案是否安全。

骇客能够借此发动磁碟人攻击，这种攻击方法就像是骇客躲藏在储存空间中一样，游戏安装器下载回来的APK档案，可能会被第三方应用程序置换成恶意软件。不过，这个漏洞目前仅发生在三星装置上，根据Google的安全报告，在三星手机上，要塞英雄安装器使用了三星专有的应用程序API，三星的API会将下载的档案存在Android的外部贮存器（External△Storage）中，而由于外部贮存器辅助空间是供众多应用程序共享的硬件资源，因此只要WRITE_EXTERNAL_STORAGE属性设为允许，则应用程序便能将资料放进外部贮存器中，但这也是问题所在。

三星的API仅检查正在安装的APK是否与套件名称com.epicgames.fortnite相符，而在Android上套件名称安全性并不高，轻易就可以创建一个通过这项检查的应用程序，因此恶意的应用程序可以等待Fortnite安装程式下载更新完成后，在安装开始之前，换掉com.epicgames.fortnite这个APK，要塞英雄安装器便会不疑有他的安装恶意的应用程序，而且当APK的targetSdkVersion为22，也就是Android△5.1 Lollipop或更低版本，将被授权安装过程需要的任何权限，甚至不需要用户同意。

Google于8月15日私下知会了Epic△Games该漏洞，Epic△Games也在第二天释出漏洞更新启动器2.1.0版，而正如Google建议的，Epic△Games修补该漏洞的方法，就是把原本预设储存从公共外部储存移动到内部储存。

这个漏洞也曝露了两间企业的微妙关系，Epic△Games为了规避Google△Play商店程式内购买30％的抽成，仅在商店中发布安装器，游戏本体则由自家发布，这无疑是影响了Google的营收，同时也让Android用户面临安全威胁。Google在确定Epic△Games完成漏洞修部后，随即公开了漏洞细节，而这个动作引来Epic执行长Tim△Sweeney的批评。

Tim△Sweeney向外国媒体Mashable抱怨，虽然他们很感谢Google在要塞英雄发布Android版本后，随即进行安全审核，并且也向他们报告了漏洞细节，帮助他们更新修复应用程序，但是Google揭露漏洞的技术细节过程并不负责任，有许多装置尚未更新到要塞英雄最新版本，仍然容易受到攻击，Epic△Games曾要求Google延迟90天公开漏洞，但受到Google的拒绝。Tim△Sweeney认为，Google不能因为Epic△Games在Google△Play商店外发布游戏，就把使用者的安全拿来作为反击的武器。

tags：

上一篇  下一篇

相关：

上周三才修补Struts 2漏洞，概念性验证攻击程式周五就现身

示意图，与新闻事件无关。 图片来源: Apache△Software△Foundation Apache软件基金会（Apache△Software△Foundation）甫于上周三（8/22）修补了编号为CVE-2018-11776的Struts△2安全漏洞，但Recorded△Future的安

Go 1.11来了！可将Go程式码编译为WebAssembly

在今年4月，Go官方就预告即将支援Go编译成WebAssembly，一展取代Javascript的野心，而这个功能就在上周五释出的最新版本Go中实现了，虽然1.11是个小更新，但除了WebAssembly的支援外，也加入了模组概念，另外还更新了

微软赞助、可分辨新闻网站可信度的免费浏览器扩充程式NewsGuard问世了

图片来源: Chrome△Web△Store NewsGuard△Technologies在上周释出了一个由微软赞助，同时支援Microsoft△Edge与Google△Chrome的同名扩充程式，它以9项标准帮数千个新闻或资讯网站建立可信度评分，若使用者造访的是

脸书遭爆其日志收集伺服器存在远端程式码执行漏洞

资安工程师Daniel△Le△Gall在SCRT资讯安全博客发表文章，他发现脸书一台伺服器存在远端程式码执行漏洞，在他回报脸书后，脸书已经修正漏洞并给作者5,000美元作为奖励。Daniel△Le△Gall经常性的对有参加Bug△Bounty

Apache软件基金会修补Struts 2的远端程式攻击漏洞

图片来源: Man△Yue△Mo Apache软件基金会（Apache△Software△Foundation）于本周三（8/22）修补了Apache△Struts△2中一个可能会引发远端程式攻击的安全漏洞，有鉴于Apache△Struts△2过去出现类似的重大漏洞时，相