Pokémon GO ir "ļaunprātīga programmatūra" un "milzīgs drošības risks": drošības eksperts

Ja pēdējās nedēļas laikā esat dzīvojis klintī, Pokémon GO ir ārkārtīgi populāra, papildināta realitātes mobilā spēle. Tas jau uzbrūk Tinder un konkurē čivināt ikdienas aktīvajos lietotājos. Spēle ir tikai piecas dienas veca, un jau ir gandrīz 50 000 iOS App Store apskati. Cilvēki tērē daudz laika, meklējot Pokemon, nekā viņi tērē WhatsApp, Instagram, Instagram vai Facebook Messenger.

Panākumi Pokémon GO ir lielisks tās radītājam Niantikam un miljoniem, kas to ir lejupielādējuši. Izņemot vienu lietu: ir liela drošības ievainojamība, un neviens nav pārliecināts, kāpēc tas pastāv.

Divas dienas pēc spēles izlaišanas drošības eksperts Adam Reeve pārrunāja šo ievainojamību. Sakarā ar milzīgo pieprasījumu pēc jauniem lietotājiem - ja darbojās pārslogoti serveri - bija spiesti pieteikties, izmantojot Google kontu. Tie, kas to izdarīja, varēja sākt spēlēt. Tomēr ne Google, ne Pokémon GO lietotne pati brīdināja jaunus lietotājus, cik daudz privātuma viņi upurēja.

Izrādās, ka tas ir diezgan daudz.

“Pilnīga piekļuve.” Tam vajadzētu likties mazliet daudz. Tas ir. Reeve raksta ziņojumā ar nosaukumu “Pokemon Go ir milzīgs drošības risks” savā blogā. Savā čivinātā, kas savieno ar pastu, viņš izsauc lietotnes ļaunprātīgu programmatūru. Lielākais takeaway ir tas, ka „pilna piekļuve” nozīmē tikai:

Pokemon Go un Niantic tagad var:

• Lasiet visu savu e-pastu
• Sūtīt e-pastu kā jūs
• Piekļūstiet visiem jūsu Google diska dokumentiem (ieskaitot to dzēšanu)
• Apskatiet meklēšanas vēsturi un savu Maps navigācijas vēsturi
• Piekļūstiet visiem privātajiem fotoattēliem, kurus varat saglabāt Google fotoattēlos
• Un vēl daudz vairāk

Piekļuve ietekmēja visus iOS lietotājus un atlasīt Android lietotājus. Lai redzētu, vai pats esat atteicies no sava konta, skatiet šeit.

Tātad @ NianticLabs šķiet _some_ Pokemon iet instalācijas kļūst pilnīga piekļuve saistītajiem Google kontiem. Jebkura ideja, kāpēc?

- Adam Reeve (@adamreeve) 2016. gada 11. jūlijā

Ir ļoti maz iemesla, lai Niantic varētu piekļūt daudz. Reeve raksta, ka „labākās prakses (un vienkāršas loģikas) diktē, ka lietotnes pieprasa minimālo nepieciešamo informāciju -“ kas parasti ir vienkārši vienkārša kontaktinformācija ”. Rezultātā Reeve uzminē, ka tas bija pārraudzība - lai gan liels uzraudzība - Niantic vārdā.

„Tas, iespējams, ir tikai episkā neuzmanības rezultāts. Bet es neko nezinu par Niantic drošības politiku. Es nezinu, cik labi viņi aizsargās šo lielisko jauno spēku, ko viņi paši ir piešķīruši, un atklāti sakot, es viņiem vispār neuzticos. Es esmu atcēlis savu piekļuvi savam kontam un dzēš lietotni. Es tiešām vēlos, lai es varētu spēlēt, izskatās ļoti jautri, bet nav tā, ka tas ir vērts."

Tomēr notiek kaut kas neticams. Ja lietotne pieprasa atļaujas, Google ir ātri jāinformē lietotāji par to, cik daudz atļauju viņi piešķir. Šādā gadījumā nebija šāda pieprasījuma: lietotāji izveidoja kontu, un, viņiem nepazīstot, atteicās pilnībā piekļūt.

Problēma nav tā, ka Pokemon Go var piekļūt jūsu Google kontam, tas ir tas, ka Google nekad nepieprasa jums to piešķirt. Nebūtu iespējams.

- SecuriTay (@SwiftOnSecurity) 2016. gada 11. jūlijā

Vēl vairāk, Niantic necieš bažas: teica runasvīrs Ars Technica tikai šādi: “Pašlaik nav komentāru, lai kopīgotu.”

Vai nu Google goofed, vai Niantic dara pārlūkprogrammas automatizāciju, lai programmētiski piekristu Google drošības brīdinājumam. Nozīmīgs jautājums vai nu.

- SecuriTay (@SwiftOnSecurity) 2016. gada 11. jūlijā

Niantic pats Pokémon GO konfidencialitātes politika ietver sekojošo, kas, ņemot vērā iepriekš minēto, šķiet maldinoša:

“Spēles laikā un kad jūs … reģistrējieties, lai izveidotu kontu ar mums, mēs apkoposim noteiktu informāciju, ko var izmantot, lai identificētu vai atpazītu jūs (“ PII ”). Jo īpaši tāpēc, ka jums ir jābūt kontam Google kontā, lai reģistrētos, lai izveidotu kontu, mēs apkoposim PII (piemēram, jūsu Google e-pasta adresi …), ka jūsu privātuma iestatījumi ar Google ļauj mums piekļūt.

Un vēl ļaunāk:

“Pēc jūsu konta izbeigšanas vai deaktivizācijas, Niantic, tā klienti, filiāles vai pakalpojumu sniedzēji var saglabāt informāciju un lietotāju saturu komerciāli saprātīgā laika periodā…”

Ja esat kāds, kas bagātina jūsu Pokemon pār jūsu privātumu, tad turpiniet, it kā nekas nebūtu noticis. Ja vēlaties, lai jūsu Google konts tiktu saglabāts pats, jums jāatsauc piekļuve. (Piekļuves atcelšana, kā ziņots, neietekmē jūsu grūti nopelnīto Pokemon.)

Ja vēl neesat pierakstījies, vienkārši izmantojiet degļa Google kontu. Lietotājs, kas to dara lielā un augošajā dienā, nevar būt tālu.