Những vấn đề bảo mật liên quan Fortnite Battle Royale trên Android mới chỉ bắt đầu mà thôi

Những rắc rối về bảo mật đang bủa vây phiên bản Android của Fortnite, và có vẻ nó sẽ chưa dừng lại trong một sớm một chiều.

Nhà phát triển Fortnite là Epic Games mới chỉ vá một lỗi bảo mật trong bộ cài đặt Fortnite cho Android, nhưng các nhà nghiên cứu cho rằng một loạt những vấn đề khác liên quan đến tựa game trực tuyến này sẽ xuất hiện khi nó ngày càng trở nên phổ biến hơn trên Android.

Nguyên nhân của việc này là bởi Fortnite không được phân phối thông qua Google Play Store. Thay vào đó, Epic lại chọn một phương thức phân phối không chính thống, một con đường nguy hiểm hơn đối với các fan của trò chơi này: thay vì cho phép họ tải game từ cửa hàng ứng dụng chính chủ của Google, Epic buộc họ phải tải tập tin APK từ website của chính mình và tự cài đặt nó vào thiết bị Android.

Việc Epic được phép làm điều này đã cho thấy tại sao hệ điều hành Android của Google lại thường xuyên bị sờ gáy vì các lỗ hổng bảo mật. Trong khi Apple khóa chặt iPhone, chỉ cho phép người dùng tải ứng dụng thông qua App Store, thì Android cho phép tải các chương trình theo nhiều cách. Sự tự do này đi kèm với một nguy cơ: các ứng dụng bên ngoài Play Store có khả năng bị đính kèm malware cao gấp 9 lần so với các ứng dụng trên Play Store.

Với việc Fortnite có hơn 125 triệu người chơi, hướng dẫn mọi người tải ứng dụng bên ngoài cửa hàng ứng dụng chính thức sẽ khiến hàng triệu người có khả năng gặp phải những rủi ro không đáng có. Ngay cả nếu Epic không cố ý làm hại người dùng, các ứng dụng khác sẽ không bỏ qua cơ hội đó.

 "Vấn đề với Fortnite là nó quá thu hút, và mọi người sẽ nghĩ rằng sideload ứng dụng là điều hoàn toàn bình thường" - Craig Williams, một nhà nghiên cứu bảo mật và là giám đốc tiếp cận khách hàng của Talos Intelligent Group (thuộc Cisco) cho biết - "Họ tự biến mình thành những mục tiêu hấp dẫn".

Tại sao Epic lại tránh né Google? Bởi hãng này không muốn chia sẻ 30% doanh thu mà mọi nhà phát triển ứng dụng phải chia sẻ với ông trùm tìm kiếm. Và xét đến mức độ phổ biến điên rồ của Fortnite - với những người chơi sẵn sàng bỏ hàng núi tiền thật để mua trang phục và những điệu bộ ảo - thì doanh thu cho nhà phát triển sẽ càng lớn.

Tuy nhiên, khi mà Epic hưởng lợi, thì các fan Fortnite trên Android có lẽ sẽ phải trả giá.

Lỗ hổng bảo mật nào đã xuất hiện trên Fortnite cho Android?

Chỉ 2 ngày sau khi Fortnite xuất hiện trên Android, một kỹ sư Google đã phát hiện một lỗ hổng bảo mật cho phép hacker thay thế ứng dụng này bằng một phiên bản game giả mạo - phương thức mà giới an ninh mạng gọi là tấn công man-in-the-disk bởi nó sử dụng những kẽ hở trên bộ nhớ lưu trữ ngoài như thẻ SD để cài malware.

Google nói trong tuyên bố của mình rằng họ đã ngay lập tức thông báo với Epic về lỗ hổng này.

Epic Games đã vá lỗ hổng với một bản patch vào ngày 16/8, và yêu cầu Google giữ bí mật về lỗ hổng trong 90 ngày để người chơi có thêm thời gian cài bản patch trước khi nó được phổ biến công khai.

Thế nhưng, Google lại công khai lỗ hổng này vào...1 tuần sau đó. CEO Epic Games là Tim Sweeney đã chỉ trích không thương tiếc Google vì tiết lộ lỗ hổng quá sớm, cho rằng 1 tuần là không kịp để hãng tung ra bản vá cho mọi người. Sweeney cáo buộc Google cố tình "ghi điểm PR rẻ tiền".

CEO Epic Game - Tim Sweeney

Nhưng Scott Helme, một nhà nghiên cứu bảo mật độc lập tại Anh, thì cho rằng khoảng thời gian 7 ngày là hoàn toàn bình thường.

"Bạn luôn muốn tiết lộ sớm bởi điều đó sẽ giúp thông báo mọi người rằng họ cần phải vá ngay lập tức" - Helme nói - "Mọi người hiện sẽ cập nhật bản vá ngay, thay vì đợi sang tuần sau hay tháng sau".

Hành động chỉ trích Google tuân thủ một tiêu chuẩn bảo mật của Sweeney cho thấy Epic có lẽ không nắm rõ những nguy cơ tiềm tàng trong an ninh mạng.

Epic không đưa ra phản hồi nào về vấn đề này.

Bão đang nổi lên

Những tranh cãi xung quanh việc công khai lỗ hổng bảo mật đã làm dấy lên câu hỏi chuyện sẽ thế nào nếu Epic đơn giản là cứ mang Fortnite lên Google Play Store?

Cơn bão trong Fortnite

 Trong trường hợp đó, Google có thể dễ dàng hơn trong việc thông báo với mọi người rằng họ cần cài đặt bản vá, cũng như tung ra các bản cập nhật thông qua Play Store. Trong trường hợp sideload các ứng dụng vào máy, quy trình diễn ra lại hoàn toàn khác - Helme nói.

Sweeney nói trong một tweet rằng bộ cài đặt Fortnite chỉ cập nhật khi game đang chạy. Có nghĩa là bạn chỉ có thể tải về bản vá khi bạn bắt đầu chơi Fortnite. Nếu bạn chưa hề đụng vào game trong nhiều ngày hay nhiều tuần, bộ cài đặt sẽ vẫn có khả năng gặp nguy hiểm, mà theo các nhà nghiên cứu, nó sẽ đặt thiết bị của bạn trước những rủi ro không đáng có.

Dù vậy, đừng trông chờ Epic có thể mang Fortnite lên Play Store trong một sớm một chiều, kể cả khi vấn đề bảo mật đã và đang xảy ra như nhiều người đã cảnh báo.

"Nó giống như gậy ông đập lưng ông (đối với Epic Games) vậy" - Helme nói.

Và vấn đề không chỉ xuất phát từ bản thên Epic. Ngay trong ngày đầu tiên Epic tung ra Fortnite cho Android, các bản game Fortnite giả mạo đã chiếm đến 1/3 trong số các mẫu malware bị phát hiện trong tuần.

Khi Williams thấy các ứng dụng Fortnite giả mạo xuất hiện rầm rộ trên mạng Internet, chúng phần lớn là các bản game có đính kèm adware (phần mềm quảng cáo). Các bản game giả mạo này vẫn cho phép bạn chơi Fortnite như thường, nhưng chúng cũng nhanh chóng kiếm thêm một ít nhờ đẩy quảng cáo đến máy của nạn nhân.

Các bản game giả mạo này khá đơn giản và không gây ra những thiệt hại lớn như đánh cắp tài khoản định danh hay root máy của bạn.

Nhưng khi Epic Games tiếp tục đòi hỏi người chơi phải sideload Fortnite vào Android và tựa game trở nên phổ biến hơn, tình hình cũng sẽ tồi tệ hơn.

"Những gì chúng ta đang thấy giống như 'mỡ để miệng mèo' đối với malware vậy" - William nói - "Dần dần, chúng ta sẽ thấy những biến thể phức tạp hơn chiếm quyền điều khiển hệ thống".

Tham khảo: CNET