Pokémon GO este "Malware" și "Risc de securitate imens": Expert în securitate

În cazul în care ați trăit sub o stâncă pentru săptămâna trecută, Pokémon GO este un joc de mobilitate realistă populară, augmentată. Ea deja bate Tinder și rivalizează Twitter în utilizatorii zilnici activi. Jocul are doar cinci zile, iar deja există aproape 50.000 de recenzii pe iOS App Store. Oamenii petrec mult mai mult timp în căutare de Pokémon decât cheltuiesc pe WhatsApp, Instagram, Snapchat sau Facebook Messenger.

Succesul Pokémon GO este minunat pentru creatorul său Niantic și pentru milioane de oameni care l-au descărcat. Cu excepția unui singur lucru: există o vulnerabilitate majoră la securitate și nimeni nu știe de ce există.

Două zile după lansarea jocului, expertul în securitate, Adam Reeve, a scris pe tweeted despre vulnerabilitate. Datorită cererii coplesitoare a jocului, utilizatorii noi - dacă serverele supraîncărcate funcționau - au fost forțați să se conecteze utilizând un cont Google. Cei care au făcut acest lucru au fost apoi capabili să înceapă să joace. Cu toate acestea, nici Google, nici Pokémon GO Aplicația în sine a avertizat utilizatorii noi cât de multă confidențialitate sacrifică.

Se pare că este destul de mult.

"Acces complet". Ar trebui să fie un pic cam mult. Este. Reeve scrie într-un post intitulat "Pokemon Go este un risc imens de securitate" pe blogul său. În tweetul său care se leagă de post, el sună la aplicația malware. Cea mai mare culegere este că "accesul complet" înseamnă doar:

Pokemon Go și Niantic pot acum:

• Citiți toate e-mailurile
• Trimiteți e-mailul ca dvs.
• Accesați toate documentele Google Drive (inclusiv ștergerea acestora)
• Consultați istoricul căutărilor și istoricul navigației Google Maps
• Accesați fotografiile private pe care le puteți stoca în Google Foto
• Și mult mai mult

Accesul a afectat toți utilizatorii iOS și a selectat utilizatorii Android. Pentru a vedea dacă ați renunțat la accesul la contul dvs., căutați aici.

Deci, @NianticLabs se pare că unele instalări Pokemon go get access complet la conturile Google conectate. Ai idee de ce?

- Adam Reeve (@adamreeve) 11 iulie 2016

Există foarte puține motive ca Niantic să aibă acces atât de mare. Reeve scrie că "cele mai bune practici (și logica simplă) dictează" că aplicațiile cer informații minime necesare - "care este, de obicei, doar informații simple de contact." Ca urmare, Reeve ghicește că aceasta a fost o supraveghere - deși mare supraveghere - în numele Niantic.

"Acesta este, probabil, doar rezultatul neatenției epice. Dar nu știu nimic despre politicile de securitate ale lui Niantic. Nu știu cât de bine vor păstra această nouă putere extraordinară pe care și-au acordat-o și, sincer, eu nu am încredere în ei deloc. Am revocat accesul la contul meu și am șters aplicația. Chiar îmi doresc să pot juca, se pare foarte distractiv, dar nu merită riscul.

Cu toate acestea, se întâmplă ceva pește. Atunci când o aplicație solicită permisiuni, Google ar trebui să informeze rapid utilizatorii cu privire la numărul de permisiuni pe care le acordă. În acest caz, nu a existat o astfel de prompt: utilizatorii au creat un cont, și - necunoscut pentru ei - a dat departe acces complet.

Problema nu este că Pokemon Go are acces la contul dvs. Google, este că Google nu vă cere niciodată să îi acordați acces. Nu ar trebui să fie posibil.

- SecuriTay (@SwiftOnSecurity) 11 iulie 2016

În plus, Niantic nu dezminte îngrijorarea: a spus un purtător de cuvânt Ars Technica numai următoarele: "Nu aveți niciun comentariu pe care să-l distribuiți în acest moment".

Fie Google a dat naștere, fie Niantic face automatizarea browser-ului pentru a accepta programatic avertismentul de securitate Google. Problemă majoră în orice fel.

- SecuriTay (@SwiftOnSecurity) 11 iulie 2016

Niantic Pokémon GO politica de confidențialitate include următoarele, care - având în vedere cele de mai sus - pare a fi înșelătoare:

"În timpul jocului și când … vă înregistrați pentru a crea un cont cu noi … vom colecta anumite informații care pot fi folosite pentru a vă identifica sau recunoaște (" PII "). În mod specific, deoarece trebuie să aveți un cont la Google înainte de a vă înregistra pentru a crea un cont, vom colecta PII (cum ar fi adresa dvs. de e-mail Google …) că setările de confidențialitate cu Google … ne permit să accesăm.

Și mai rău:

"După terminarea sau dezactivarea contului dvs., Niantic, clienții săi, afiliații sau furnizorii de servicii pot păstra informațiile … și conținutul utilizatorilor pentru o perioadă de timp rezonabilă comercial …"

Dacă sunteți cineva care vă prețuiește Pokemon-ul asupra vieții private, continuați ca și cum nu s-ar fi întâmplat nimic. Dacă preferați să păstrați contul dvs. Google pentru dvs., ar trebui să revocați accesul. (Revocarea accesului nu pare să afecteze Pokémon-ul dvs. câștigat cu greu.)

Dacă încă nu v-ați înscris, trebuie doar să utilizați un cont Google Google de înregistrare. Cu o bază de utilizatori atât de mare și în creștere de zi, exploatările nu pot fi mult în urmă.