När Epic Games tidigare den här månaden släppte sitt populära spel Fortnite till Android verkar man ha gjort ett fatalt misstag som innebar att obehöriga skulle kunna installera i princip vad som helst på Fortnite-spelarnas android-lurar.

När spelet släpptes till Android så valde Epic Games att distribuera detta själva istället för att lägga ut det i Android-butiken Google Play Store. Detta var något man gjorde för att undvika att betala provision till Google för saker som såldes i spelet. Dock så verkar Epic Games ha missat en fundamental säkerhetsfunktion i den första installern till Fortnite för Android vilket gjorde att det gick att "lura" installationsprogrammet att installera i stort sett vad som helst.

Det var en säkerhetsforskare på Google som upptäckte säkerhetsluckan och han skriver själv:
"Any app with the WRITE_EXTERNAL_STORAGE permission can substitute the APK immediately after the download is completed and the fingerprint is verified. This is easily done using a FileObserver. The Fortnite Installer will proceed to install the substituted (fake) APK.
On Samsung devices, the Fortnite Installer performs the APK install silently via a private Galaxy Apps API. This API checks that the APK being installed has the package name com.epicgames.fortnite. Consequently the fake APK with a matching package name can be silently installed."
Säkerhetsluckan upptäcktes 15 augusti och Epic Games hade fixat problemet 17 augusti. Google har som policy att publicera upptäckta säkerhetsluckor 90 dagar efter de upptäckts eller sju dagar efter de fixats. Igår publicerade Google därför information om den nu tätade säkerhetsluckan publikt.