Giá như lên kệ Play Store, Fortnite đã không dính lỗi bảo mật nghiêm trọng đến mức này

Fortnite sau thời gian dài chờ đợi của người hâm mộ cuối cùng đã cập bến nền tảng Android, nhưng "niềm vui ngắn chẳng tày gang", chỉ vài tuần sau các chuyên gia đã phát hiện lỗ hổng bảo mật nghiêm trọng trên tựa game ăn khách thứ nhì 2018.

Giá như lên kệ Play Store, Fortnite đã không dính lỗi bảo mật nghiêm trọng đến mức này - Ảnh 1.

Sau nhiều đồn đoán, cuối cùng tựa game sinh tồn góc nhìn thứ ba “đình đám” phiên bản di động dành cho hệ điều hành Android cũng đã cập bến, đầu tiên là trên các thiết bị Galaxy của Samsung trong khuôn khổ màn ra mắt “siêu phẩm” Galaxy Note 9, sau đó là toàn bộ thị trường smartphone Android cao cấp có cấu hình đủ đáp ứng. Điều đáng nói là, đúng như các nguồn tin rò rỉ, nhà phát hành Epic Games đã quyết định Fortnite sẽ không có mặt trên kho ứng dụng bên thứ nhất của Android - Google Play Store .

Giá như lên kệ Play Store, Fortnite đã không dính lỗi bảo mật nghiêm trọng đến mức này - Ảnh 2.

 

Nếu search từ khóa “Fortnite” trên Play Store, bạn sẽ nhận được dòng thông báo chính thức của Google rằng Fortnite phiên bản di động sẽ không có mặt trên Play Store, Người khổng lồ tìm kiếm còn “vô ý một cách có chủ đích” viết sai chính tả tên “Royale” thành “Royal” như một động thái trả đũa Epic Games, bởi sau cùng, Google đã “bốc hơi” hơn 50 triệu USD chỉ vì Fortnite không được phân phối trên Play Store.

Dù Epic đưa ra nhiều lý do, nhưng khỏi phải nói lý do rõ ràng nhất vẫn là lợi nhuận: Google mặc định ăn 30% tiền hoa hồng từ tất cả các giao dịch thực hiện trên nền tảng kho ứng dụng của mình, bao gồm cả các hoạt động mua bán vật phẩm trong game - vốn là cách chủ yếu Fortnite kiếm lợi nhuận từ người dùng. Trong khi đó, Epic lại muốn “ẵm trọn” toàn bộ doanh thu

“Thuế lên kệ 30% là một con số cao quá mức trong bối cảnh nhà phát triển game phải dùng 70% còn lại để trang trải toàn bộ các chi phí bao gồm từ phát triển, vận hành tới hỗ trợ game. 30% là tỷ lệ cao vô lý khi xét đến chi phí dịch vụ Play Store phải thực hiện như xử lý giao dịch, băng thông download hay dịch vụ khách hàng”, CEO Epic Games Tim Sweeney cho biết hồi đầu tháng.

Giá như lên kệ Play Store, Fortnite đã không dính lỗi bảo mật nghiêm trọng đến mức này - Ảnh 3.

Epic Games quyết không để "rơi" 30% doanh thu vào tay Google

 

"Bộ cài đặt Fortnite" - Công thức hoàn hảo cho một lỗ hổng bảo mật

Và giờ đây, khi Fortnite Android chính thức xác nhận lời đồn, người hâm mộ tựa game PC này phải tự lên trình duyệt, vào trang web chính thức của Epic Games và tải về bộ cài đặt, từ đó cho phép bộ cài đặt này tự động tải về các file cần thiết để cài Fortnite vào smartphone - nói cách khác, đây là công thức hoàn hảo cho lỗ một hổng bảo mật.

"Bất kỳ ứng dụng nào với quyền WRITE_EXTERNAL_STORAGE có thể lập tức thế chỗ một file APK sau khi download hoàn tất và người dùng đã xác nhận bằng bảo mật sinh trắc học (vân tay, khuôn mặt, v.v…). Điều này hoàn toàn có thể được thực hiện bằng FileObserver, bộ cài đặt có tên Fortnite Installer tải về trên trang chủ Epic Games có thể tiến hành cài đặt file APK fake được thay thế vào", một kỹ sư phần mềm giấu tên cho biết trong phỏng vấn với TechCrunch.

Nói cách khác, trình cài đặt của Fortnite phiên bản Android mắc một lỗ hổng bảo mật, từ đó cho phép kẻ xấu truy cập vào điện thoại của bạn. Tệ hơn nữa, đó sẽ không phải mối hiểm họa duy nhất nếu bạn tải Fortnite trên một thiết bị smartphone hay máy tính bảng của Samsung.

Theo kỹ sư phần mềm giấu tên Google cho biết:

"Trên các thiết bị Samsung, Fortnite Installer cài file APK qua một giao diện API Galaxy Apps. API này chỉ đơn giản kiểm tra tên file APK được cài đặt có trùng với "com.epicgames.fortnite" hay không. Hậu quả là, một file APK fake với tên y hệt hoàn toàn có thể vượt qua mọi hàng rào bảo mật và cài đặt thẳng vào máy".

Lỗ hổng bảo mật khó chấp nhận này một lần nữa nhấn mạnh yêu cầu tiên quyết về bảo mật các chuyên gia đã từ lâu nêu rõ, đặc biệt sau khi Epic tuyên bố sẽ bỏ qua Play Store: Tải bộ cài đặt từ một nguồn khác ngoài Play Store sẽ buộc người dùng phải tích vào ô cho phép cài đặt "toàn bộ" phần mềm từ một "nguồn không xác định". Và bởi vì bộ cài Fortnite được tải về từ Epic Games, và game lại được tải và cài đặt qua bộ cài nói trên, người dùng cũng theo đó đối mặt với vô số rủi ro về bảo mật đáng ra đã không có nếu Epic Games chịu phát hành Fortnite trên kho ứng dụng bên thứ nhất đáng tin cậy của Android.

Giá như lên kệ Play Store, Fortnite đã không dính lỗi bảo mật nghiêm trọng đến mức này - Ảnh 4.

Trang phục "Galaxy" độc quyền chỉ có trên các thiết bị Galaxy chơi Fortnite.

Với lỗ hổng bảo mật nghiêm trọng của mình, Epic Games đã đưa hàng triệu người chơi Fortnite trên thế giới vào thế bị động nguy hiểm, đối mặt với nguy cơ bị đánh cắp thông tin cá nhân, thẻ ngân hàng hoặc bị điều khiển thiết bị từ xa.

Tuy nhiên, lỗ hổng bảo mật sau đó đã được Epic Games nhanh chóng tung bản vá khắc phục, nhưng hiện chưa rõ đã có ai bị ảnh hưởng từ lỗi này chưa.

Công Minh (theo BI)

Bài viết liên quan

Bài viết đọc nhiều nhất

Lên đầu trang