早前於 Samsung Galaxy Note9 的發佈會上,遊戲廠商 Epic 宣佈旗下遊戲《Fortnite》的 Android 版本正式推出,不過並不會在 Play Store 上架,而是在網上推出下載器讓用家下載及更新遊戲,但下載器卻出現了漏洞,使駭客可以透過該下載器在用家的手機上安裝惡意程式。
【相關新聞】
【相關新聞】
當 Epic 宣佈不會透過 Play Store 下載遊戲時,就已經有不少網絡安全專家表示這種方式有機會出現安全問題,而《Fortnite》下載器推出不足一個月就被 Google 發現有程式漏洞,該漏洞可允許手機安裝任何應用程式,有駭客就透過這個漏洞,在玩家的手機上安裝惡意程式,盗取個人資料。根據 Google 的報告,駭客會在一些《Fortnite》的外掛或攻略應用程式中加入隱藏代碼,當用家透過官方的《Fortnite》下載器安裝或更新應用程式時,駭客的隱藏代理能透過漏洞將原本的《Fortnite》下載連結變更為惡意程式的下載連結,讓用家無意中安裝了惡意程式,而手機就會誤以為正安裝遊戲,所以不會作出任何安全警告,允許惡意程式的安裝。
幸好,Epic 在收到 Google 的通知後,在 48 小時內已經推出了更新,將漏洞修復,但未知在漏洞修復前有多少用家受到了影響。今次事件顯示出透過網站或 Play Store 以外軟件下載應用程式的安全問題,同時亦顯示出 Google Play Protect 的性能,即使程式沒有經 Play Store 下載,Google 也能找出漏洞,讓用家更派信心。
Source:AndroidCentral.com