Pokémon GO és "malware" i un "risc de seguretat enorme": expert en seguretat

Si heu viscut sota una roca durant la setmana passada, Pokémon GO és un joc de mòbils de realitat augmentada escandalosament popular. Ja està colpejant Tinder i rivalitzant amb Twitter en usuaris actius diaris. El joc té només cinc dies i ja hi ha gairebé 50.000 comentaris a la botiga d’aplicacions de iOS. La gent està gastant molt més temps buscant Pokémon del que gasten en WhatsApp, Instagram, Snapchat o Facebook Messenger.

L’èxit de Pokémon GO és ideal per al seu creador Niantic i per als milions que l'han descarregat. Llevat d’una cosa: hi ha una gran vulnerabilitat de seguretat i ningú no està segur de per què existeix.

Dos dies després del llançament del partit, l’expert en seguretat Adam Reeve va publicar un tuiteo sobre la vulnerabilitat. A causa de la gran demanda del joc, els nous usuaris, si funcionaven els servidors sobrecarregats, es van veure obligats a iniciar sessió mitjançant un compte de Google. Els que ho van fer van poder començar a jugar. No obstant això, ni Google ni el Pokémon GO la pròpia aplicació va advertir als nous usuaris de la quantitat de privadesa que sacrificaven.

Resulta que és bastant.

"Accés complet." Això hauria de semblar una mica. És. Reeve escriu en un post titulat "Pokemon Go és un gran risc de seguretat" al seu blog. En el seu tweet que enllaça al missatge, crida a l’aplicació malware. El més important és que "l'accés complet" només vol dir:

Pokemon Go i Niantic ara poden:

• Llegiu tot el vostre correu electrònic
• Envieu un correu electrònic com a vosaltres
• Accediu a tots els vostres documents de la unitat de Google (inclosa la supressió)
• Consulteu l’historial de cerca i l’historial de navegació de Google Maps
• Accediu a les fotos privades que podeu emmagatzemar a Google Fotos
• I molt més

L'accés ha afectat tots els usuaris de iOS i ha seleccionat els usuaris d'Android. Per veure si heu abandonat l'accés al vostre compte, mireu aquí.

Per tant, @NianticLabs sembla _some_ Pokemon go installs està obtenint accés complet als comptes de google enllaçats. Tens alguna idea per què?

- Adam Reeve (@adamreeve) 11 de juliol de 2016

Hi ha molt poc motiu perquè Niantic tingui aquest accés. Reeve escriu que "les millors pràctiques (i una lògica senzilla) dicten" que les aplicacions demanen la informació mínima requerida - "que sol ser només informació de contacte senzilla". Reeve suposo que aquest era un desconeixement. gran supervisió - en nom de Niantic.

"Probablement això sigui el resultat de l'èpica negligència. Però no sé res de les polítiques de seguretat de Niantic. No sé com de ben guardaran aquest impressionant nou poder que se'ls ha concedit, i, francament, no confio en ells. He revocat l’accés al meu compte i he esborrat l’aplicació. M'agradaria poder jugar, sembla molt divertit, però no hi ha manera que valgui la pena el risc."

Tot i així, hi ha alguna cosa que passa. Quan una aplicació sol·licita permisos, Google hauria d'informar ràpidament els usuaris de quants permisos es concedeixen. En aquest cas, no s’ha produït aquest missatge: els usuaris van crear un compte i, sense conèixer-los, van donar accés complet.

El problema no és que Pokemon Go tingui accés al vostre compte de Google, sinó que Google no us demana mai que us concedeixin accés. No hauria de ser possible.

- SecuriTay (@SwiftOnSecurity) 11 de juliol de 2016

A més, encara, Niantic no és preocupant: un portaveu va dir Ars Technica només el següent: "No hi ha comentaris per compartir en aquest moment".

Google goofed o Niantic està fent l’automatització del navegador per acceptar programàticament l’avís de seguretat de Google. Problema principal en qualsevol cas.

- SecuriTay (@SwiftOnSecurity) 11 de juliol de 2016

Niantic's propi Pokémon GO La política de privadesa inclou el següent, que - tenint en compte les anteriors, sembla enganyós:

"Durant el joc i quan … registreu-vos per crear un compte amb nosaltres … recollirem certa informació que us pot utilitzar per identificar-vos o reconèixer-los (" PII "). En concret, com que heu de tenir un compte amb Google abans de registrar-vos per crear un compte, recollirem PII (com ara la vostra adreça de correu electrònic de Google …) que la vostra configuració de privadesa amb Google ens permetrà accedir.

I pitjor:

"Després de la finalització o la desactivació del vostre … compte, Niantic, els seus clients, afiliats o proveïdors de serveis poden retenir informació … i el contingut dels usuaris durant un període de temps comercial raonable …"

Si sou algú que valora els vostres Pokémon sobre la vostra privadesa, continueu com si no hagués passat res. Si preferiu mantenir el vostre compte de Google per vosaltres mateixos, haureu de revocar l’accés. (L’anul·lació de l’accés no afectarà els Pokémon que s’hagi guanyat dur).

Si encara no heu de registrar-vos, només cal que utilitzeu un compte de Google del gravador. Amb una base d’usuaris tan gran i creixent cada dia, les gestes no poden quedar enrere.