谷歌网络安全研究员发现Fortnite Android App容易受到ManintheDisk攻击

一位谷歌安全研究员在新的Fortnite Android应用程序中披露了一个漏洞，该漏洞暴露给了Man-in-the-Disk攻击。
经过漫长的等待，Fortnite Android应用程序终于到来，但它隐藏着一个丑陋的惊喜，它很容易受到磁盘中的（MitD）攻击，可能允许第三方应用程序崩溃或运行恶意代码。

该漏洞是由谷歌安全研究人员发现的，它可能被已经安装在用户手机上的低特权恶意应用程序利用来劫持Fortnite Android应用程序。

当Android应用程序将数据存储在其高度安全的内部存储空间之外时，威胁行为者可以执行MitD攻击，例如在所有应用程序共享的外部存储上。

攻击者可能会篡改存储在外部存储空间中的数据。

攻击者可能会劫持安装过程并安装具有更高权限的其他恶意应用程序。

流行游戏的作者Epic Games迅速发布了一个解决这个问题的新版本（版本2.1.0）。

Android Fortnite应用程序只是一个安装程序，一旦用户安装应用程序，此安装程序利用设备的外部存储空间下载并安装实际游戏。

Fortnite Android应用程序可用于特定的三星设备型号，其安装程序通过私有Galaxy Apps API静默执行APK安装。API进行的唯一检查是安装的APK具有包名com.epicgames.fortnite。攻击者可以使用具有相同程序包名称的虚假APK来静默安装恶意代码。