Pokémon GO je "Malware" in "Huge Security Risk": varnostni strokovnjak

Če ste v zadnjem tednu živeli pod skalo, Pokémon GO je pretirano priljubljena, razširjena resničnost mobilna igra. To že premaguje Tinder in tekmuje z Twitterjem pri dnevnih aktivnih uporabnikih. Igra je stara samo pet dni in že je skoraj 50.000 pregledov na iOS App Store. Ljudje porabijo veliko več časa za iskanje Pokémona, kot ga porabijo za WhatsApp, Instagram, Snapchat ali Facebook Messenger.

Uspeh Pokémon GO je odličen za svojega ustvarjalca Niantic in za milijone, ki so ga prenesli. Razen ene stvari: obstaja velika varnostna ranljivost in nihče ni povsem prepričan, zakaj obstaja.

Dva dni po izidu igre je varnostni strokovnjak Adam Reeve tweetal o ranljivosti. Zaradi velikega povpraševanja igre so bili novi uporabniki, če so preobremenjeni strežniki delovali, prisiljeni prijaviti se z Googlovim računom. Tisti, ki so to storili, so potem lahko začeli igrati. Vendar niti Google niti Pokémon GO Aplikacija sama je nove uporabnike opozorila, koliko zasebnosti so žrtvovali.

Izkazalo se je, da je veliko.

»Popoln dostop.« To bi moralo biti zelo malo. Je. Reeve piše v postu z naslovom "Pokemon Go je ogromno varnostno tveganje" na svojem blogu. V svoji tweet povezavi do objave kliče aplikacijo zlonamerne programske opreme. Največji odziv je, da "popoln dostop" pomeni samo:

Pokemon Go in Niantic lahko zdaj:

• Preberite vse svoje e-poštne naslove
• Pošlji e-pošto kot ti
• Dostopajte do vseh dokumentov Google pogona (vključno z brisanjem)
• Oglejte si zgodovino iskanja in zgodovino navigacije v Google Zemljevidih
• Dostopajte do vseh zasebnih fotografij, ki jih lahko shranite v Google Foto
• In še veliko več

Dostop je vplival na vse uporabnike iOS in izbral uporabnike Androida. Če želite preveriti, ali ste se sami odrekli dostopu do svojega računa, poglejte tukaj.

Torej @ NianticLabs se zdi _some_ Pokemon go namesti so dobili poln dostop do povezanih Google računov. Kakšna ideja, zakaj?

- Adam Reeve (@adamreeve) 11. julij 2016

Niantic ima zelo malo razloga, da bi imel tako veliko dostopa. Reeve piše, da »najboljše prakse (in preprosta logika) narekujejo,« da aplikacije zahtevajo minimalne zahtevane informacije - »kar je ponavadi samo preproste kontaktne informacije«. Posledica tega je, da Reeve ugiba, da je to previdnost - čeprav velik nadzor - v imenu družbe Niantic.

»To je verjetno samo posledica epske brezbrižnosti. Ampak ne vem nič o varnostni politiki družbe Niantic. Ne vem, kako dobro bodo varovali to čudovito novo moč, ki so si jo podelili, in iskreno jim ne zaupam. Ukinil sem njihov dostop do računa in izbrisal aplikacijo. Res bi si želel, da bi lahko igral, izgleda zelo zabavno, toda nikakor ni vredno tveganja."

Kljub temu se dogaja nekaj sumljivega. Ko aplikacija zahteva dovoljenja, mora Google hitro obvestiti uporabnike, koliko dovoljenj odobrijo. V tem primeru ni bilo takojšnjega poziva: uporabniki so ustvarili račun in - brez vednosti - so dali popoln dostop.

Težava ni v tem, da bi Pokemon Go imel dostop do vašega Google računa, ampak to, da vas Google nikoli ne prosi za odobritev dostopa. Ne bi smelo biti mogoče.

- SecuriTay (@SwiftOnSecurity) 11. julij 2016

Še več, Niantic ne razpršuje vprašanja: povedal je tiskovni predstavnik Ars Technica samo naslednje: "Trenutno ni komentarjev."

Ali Google goofed, ali Niantic počne avtomatizacijo brskalnika za programsko strinjanje z Googlovim varnostnim opozorilom. Najpomembnejše vprašanje v vsakem primeru.

- SecuriTay (@SwiftOnSecurity) 11. julij 2016

Nianticov Pokémon GO pravilnik o zasebnosti vključuje naslednje, ki - glede na zgoraj navedeno - se zdijo zavajajoče:

"Med igranjem in ko se … registrirate, da ustvarite račun pri nas … bomo zbrali nekatere podatke, ki jih lahko uporabite za identifikacijo ali prepoznavanje vas (" PII "). Natančneje, ker morate imeti račun pri Googlu, preden se registrirate za ustvarjanje računa, bomo zbrali PII (kot je vaš Googlov e-poštni naslov …), da nam vaše nastavitve zasebnosti z Googlom … omogočajo dostop.

In še huje:

"Po prekinitvi ali deaktivaciji vašega računa … lahko Niantic, njegove stranke, podružnice ali ponudniki storitev obdržijo informacije … in uporabniške vsebine za komercialno razumno časovno obdobje …"

Če ste nekdo, ki skriva svoj Pokémon nad vašo zasebnostjo, nadaljujte, kot da se nič ni zgodilo. Če želite ohraniti svoj Google Račun za sebe, morate preklicati dostop. (Preklic dostopa naj ne bi vplival na težko doseženi Pokémon.)

Če se še niste prijavili, uporabite Google-ov zapisovalnik. Ker je baza uporabnikov velika in raste vsak dan, izkoriščanje ne more biti daleč zadaj.