Bild: Epic Games

Konnte dazu gebracht werden, beliebige Schadsoftware zu installieren - Bei Samsung-Geräten ohne jegliche Berichtungsabfragen

Im Android-Installer für Fortnite befand sich eine kritische Sicherheitslücke, wie der Hersteller mittlerweile bestätigt. Diese hätte von anderen Apps am selben Smartphone genutzt werden können, um beliebige Schadsoftware auf dem Gerät zu installieren. Besonders unerfreulich: Im Falle von Samsung-Geräten hätte eine solche App Zugriff auf Kamera, Mikrofon, Standort und andere sensible Daten erhalten können, ohne dass die User etwas davon bemerkt hätten.

Der entscheidende Fehler ist Epic beim Zwischenspeichern der eigentlichen Fortnite-App passiert: Nach dem eigentlichen Download wird diese nämlich kurz auf dem unter Android als "extern" bezeichneten Speicherbereich abgelagert, auf den alle Apps mit der Storage-Berechtigung vollständigen Zugriff haben. Genau aus diesem Grund rät Google auch sensible Daten, die dort gespeichert sind, digital zu signieren, und beim Laden zu überprüfen, ob sie manipuliert wurden. Genau darauf hat Epic aber vergessen, was es leicht macht, dem Installer eine andere App unterzujubeln, in dem diese einfach über das Original geschrieben wird.