Pokémon GO to „złośliwe oprogramowanie” i „ogromne zagrożenie bezpieczeństwa”: ekspert ds. Bezpieczeństwa

Na wypadek, gdybyś mieszkał pod kamieniem przez ostatni tydzień, Pokémon GO to skandalicznie popularna gra mobilna o rozszerzonej rzeczywistości. To już bije Tindera i rywalizuje z Twitterem w codziennych aktywnych użytkownikach. Gra ma zaledwie pięć dni i już w sklepie z aplikacjami na iOS jest prawie 50 000 recenzji. Ludzie spędzają dużo więcej czasu na szukaniu Pokémonów, niż wydają na WhatsApp, Instagram, Snapchat lub Facebook Messenger.

Sukces Pokémon GO jest świetny dla jego twórcy Niantic i dla milionów, którzy go pobrali. Z wyjątkiem jednej rzeczy: istnieje poważna luka w zabezpieczeniach i nikt nie jest pewien, dlaczego ona istnieje.

Dwa dni po wydaniu gry ekspert ds. Bezpieczeństwa Adam Reeve opublikował tweet o tej luce. Z powodu ogromnego popytu na grę, nowi użytkownicy - jeśli przeciążone serwery funkcjonowały - byli zmuszeni zalogować się przy użyciu konta Google. Ci, którzy to zrobili, mogli wtedy zacząć grać. Jednak ani Google, ani Pokémon GO sama aplikacja ostrzegła nowych użytkowników, ile poświęcają prywatności.

Okazuje się, że to całkiem sporo.

„Pełny dostęp”. To powinno brzmieć trochę za dużo. To jest. Reeve pisze w swoim poście zatytułowanym „Pokemon Go to ogromne zagrożenie bezpieczeństwa” na swoim blogu. W swoim tweecie łączącym się z postem dzwoni do złośliwego oprogramowania aplikacji. Największą zaletą jest to, że „pełny dostęp” oznacza tylko:

Pokemon Go i Niantic mogą teraz:

• Przeczytaj cały swój e-mail
• Wyślij e-mail jako Ty
• Uzyskaj dostęp do wszystkich swoich dokumentów na dysku Google (w tym do ich usuwania)
• Spójrz na historię wyszukiwania i historię nawigacji Map
• Uzyskaj dostęp do prywatnych zdjęć, które możesz przechowywać w Google Foto
• I o wiele więcej

Dostęp dotyczył wszystkich użytkowników systemu iOS i wybierał użytkowników systemu Android. Aby sprawdzić, czy sam zrezygnowałeś z dostępu do swojego konta, spójrz tutaj.

Wygląda na to, że @NianticLabs _some_ Pokemon go instaluje, uzyskując pełny dostęp do połączonych kont google. Jakiś pomysł dlaczego?

- Adam Reeve (@adamreeve) 11 lipca 2016 r

Jest bardzo mało powodów, aby Niantic miał taki dostęp. Reeve pisze, że „najlepsze praktyki (i prosta logika) nakazują”, aby aplikacje żądały minimalnej wymaganej informacji - „która jest zwykle tylko prostą informacją kontaktową”. W rezultacie Reeve domyśla się, że było to przeoczenie - chociaż duży nadzór - w imieniu Niantic.

„Prawdopodobnie jest to wynikiem epickiej beztroski. Ale nic nie wiem o polityce bezpieczeństwa Niantic. Nie wiem, jak dobrze będą strzec tej niesamowitej nowej mocy, którą sobie przyznali, i szczerze mówiąc, w ogóle im nie ufam. Odwołałem ich dostęp do mojego konta i usunąłem aplikację. Naprawdę chciałbym móc grać, wygląda na świetną zabawę, ale w żaden sposób nie jest warte ryzyka ”.

Mimo to dzieje się coś podejrzanego. Gdy aplikacja prosi o uprawnienia, Google powinien szybko poinformować użytkowników, ile uprawnień przyznaje. W tym przypadku nie było takiej zachęty: użytkownicy utworzyli konto i - bez ich wiedzy - udostępnili pełny dostęp.

Problemem nie jest to, że Pokemon Go ma dostęp do Twojego konta Google, ale to, że Google nigdy nie prosi Cię o udzielenie mu dostępu. Nie powinno być możliwe.

- SecuriTay (@SwiftOnSecurity) 11 lipca 2016 r

Co więcej, Niantic nie rozwiewa obaw: powiedział rzecznik Ars Technica tylko następujące: „Brak komentarza do udostępnienia w tej chwili”.

Albo Google goofed, albo Niantic robi automatyzację przeglądarki, aby programowo zaakceptować ostrzeżenie dotyczące bezpieczeństwa Google. Główna sprawa w każdym razie.

- SecuriTay (@SwiftOnSecurity) 11 lipca 2016 r

Własny Niantic Pokémon GO polityka prywatności obejmuje następujące elementy, które - biorąc pod uwagę powyższe - wydają się wprowadzać w błąd:

„Podczas gry i kiedy… rejestrujesz się, aby założyć u nas konto…, zbieramy pewne informacje, które mogą zostać użyte do identyfikacji lub rozpoznania Ciebie („ PII ”). W szczególności, ponieważ musisz mieć konto w Google przed zarejestrowaniem się w celu utworzenia Konta, będziemy zbierać dane PII (takie jak adres e-mail Google…), które ustawienia prywatności w Google… pozwalają nam uzyskać dostęp.

I gorzej:

„Po rozwiązaniu lub dezaktywacji Twojego… Konta, Niantic, jego klienci, podmioty stowarzyszone lub dostawcy usług mogą zachować informacje… i treści użytkownika w rozsądnym komercyjnie okresie…”

Jeśli jesteś osobą, która ceni swoje Pokémony nad swoją prywatnością, kontynuuj tak, jakby nic się nie stało. Jeśli wolisz zachować swoje konto Google dla siebie, powinieneś odwołać dostęp. (Odwołanie dostępu nie ma wpływu na ciężko zarobione Pokémony).

Jeśli nie masz jeszcze konta, skorzystaj z konta Google do nagrywania. Ponieważ użytkownik jest tak duży i rośnie z dnia na dzień, exploity nie mogą być daleko w tyle.