Der Spielehersteller Epic Games hat für die Android-Version seines Online-Shooters "Fortnite Battle Royale" statt einer App in Googles App-Store Play einen eigenen Installer bereitgestellt – und der enthielt eine schwerwiegende Sicherheitslücke, die es Hackern erlaubt hätte, den Installer über einen Umweg zu kapern und beliebige Apps mit allen Rechten zu installieren. Entdeckt und publik gemacht hat die Lücke ausgerechnet Google.

Hijacking für beliebiges Nachladen möglich

Der Fortnite-Installer von Epics Website dient lediglich dem Herunterladen der APK-Datei des eigentlichen Spiels. Die Anwendung untersucht die heruntergeladene Datei zunächst per Prüfsumme auf Manipulation und speichert sie. Bei der anschließenden Installation jedoch verlässt sie sich offenbar auf den Dateinamen und installiert, was auch immer unter diesem Namen im Dateisystem abgelegt ist, schreibt Android Central.

Eine entsprechend angepasste Schadsoftware könnte nach dem APK-Download eingreifen und dem Installer eine beliebige andere Anwendung unterschieben (Hijacking genannt), die dieser daraufhin arglos installiert. Die Vorgehensweise ist nicht so abwegig wie sie vielleicht klingt, wenn man die enorme Popularität von Fortnite bedenkt: Bei millionenfacher Kundschaft dürfte es eine lohnende Mühe sein, könnte sich ein Angreifer darüber immerhin völlige Kontrolle über das Android-System verschaffen.

Hat der Benutzer nämlich erst einmal das Installieren aus einer fremden Quelle bestätigt und verrichtet der Fortnite-Installer seine Arbeit, gibt es aufgrund des Rechtemodells von Android keine weitere Auskunft über die Rechte, die die zu installierende Anwendung sich genehmigen möchte (akzeptiert hat der Benutzer die Rechte des Installers). Eine Schadsoftware darf sich hier also sämtliche Rechte zusprechen. Es hilft auch nichts, nach dem Aufspielen des Fortnite-Installers das Installieren von Software aus "unbekannten Quellen" wieder zu deaktivieren.

Zoff zwischen Google und Epic Games

Googles Sicherheitsteam hatte die Schwachstelle entdeckt und am 15. August den Hersteller zunächst vertraulich darüber informiert. Epic Games veröffentlichte kurz darauf eine fehlerbereinigte Version des Installers (2.1.0) und bat Google, mit der Veröffentlichung von Informationen über die Lücke die üblichen 90 Tage zu warten. Das lehnte der Entdecker jedoch ab und machte die Lücke nach einer Woche im Google Issuetracker publik.

Darüber wiederum war Epic Games erzürnt, denn angesichts einer großen Zahl von Installationen des Spiels dürften nach so kurzer Zeit noch längst nicht alle Benutzer die lückenhafte Installer-Version ersetzt haben. Ein Fortnite-Entwickler gibt sich bei Mashable zwar zerknirscht über die Schwachstelle und begrüßt Googles Bemühungen um die Sicherheit der Anroid-Plattform und des Play Store, wirft dem Unternehmen wegen der raschen Veröffentlichung der Schwachstelle jedoch Anti-PR vor und das Bloßstellen des Spieleherstellers angesichts seiner Entscheidung, bei Fortnite Googles Vertriebsplattform zu umgehen.

Unangenehm für das Unternehmen ist dieser Vorfall auch, weil im Vorfeld des Erscheinens der Android-Version Epic-CEO Tim Sweeney einen "Zwischenhändler" wie Google mit seinem App-Store für "nicht mehr nötig" erachtet hatte und den Vertrieb des Spiels lieber selbst übernahm. Dafür führte er auch finanzielle Gründe an: Google behält 30 Prozent der Einnahmen des Entwicklers als Provision, was Sweeney "einen großen Batzen" nannte. Fortnite selbst ist kostenlos und finanziert sich durch Einnahmen im Verlauf des Spiels wie den Kauf von Gegenständen.

Debatte über Nutzen und Sicherheit von App-Stores

Außerdem wurde Epics Entscheidung unter Sicherheitsaspekten kritisiert: Um eine Anwendung außerhalb des Play Store herunterzuladen, muss ein Android-Benutzer eine Sicherheitsvorkehrung gegen das Installieren von Software aus "unbekannten Quellen" deaktivieren, die genau diesen Schritt eigentlich unterbinden soll. Google selbst unternimmt einige Anstrengungen, um Schadsoftware von seinem App-Store fernzuhalten – soweit die Theorie. Praktisch jedoch kämpft Google ohne Unterlass gegen schädliche Apps, die es trotzdem in den Store geschafft haben. Allein 2017 hat das Unternehmen 700.000 Apps entfernt, die gegen die Vorgaben des Store verstießen, darunter nicht wenig Schadsoftware. Bald darauf fanden sich erneut 27 mit Schadcode verseuchte Apps, die insgesamt 4,5 Millionen mal heruntergeladen wurden.

Die Angelegenheit hat noch eine unschöne Konsequenz: Spieler, die von Epics neuem Vertriebsweg nichts mitbekommen haben, suchen im Play Store nach "Fortnite" und werden fündig – bei Fake-Apps, vor denen sogar Google selbst warnt. Weil das Unternehmen darunter Malware befürchtet, blendet es bei einer solchen Suche einen Hinweis ein, dass "Fortnite Battle Royale" von Epic Games nicht im Play Store erhältlich sei.

Da hilft es wenig, wenn Epic Games Fortnite-Spieler belohnt, die besonders auf Sicherheit achten und im Spiel die Zwei-Faktor-Authentifizierung aktivieren. Denen spendiert der Herstellen den Tanz "Boogiedown-Emote", den die Spielerfigur aufführen kann. (tiw)