Pokémon GO je "Malware" a "Obrovské bezpečnostní riziko": Expert na bezpečnost

V případě, že jste minulý týden žil pod skálou, Pokémon GO je neskutečně populární, rozšířená realita mobilní hra. Je to už bití Tinder a soupeření Twitter v každodenních aktivních uživatelů. Hra je jen pět dní stará a na App Store App Store je již téměř 50 000 recenzí. Lidé tráví mnohem více času hledáním Pokémonů, než jsou výdaje na WhatsApp, Instagram, Snapchat nebo Facebook Messenger.

Úspěch Pokémon GO je skvělý pro jeho tvůrce Niantic, a pro miliony, kteří si ho stáhli. Až na jednu věc: existuje velká chyba zabezpečení a nikdo si není zcela jistý, proč existuje.

Dva dny po vydání hry, bezpečnostní expert Adam Reeve tweeted o zranitelnosti. Kvůli ohromující poptávce hry byli noví uživatelé - pokud fungovali přetížené servery - nuceni se přihlásit pomocí účtu Google. Ti, kdo tak učinili, pak mohli začít hrát. Nicméně ani Google, ani Pokémon GO aplikace sama varovala nové uživatele, kolik soukromí obětovali.

Ukazuje se, že je to dost.

„Plný přístup.“ To by mělo znít trochu víc. To je. Reeve píše v příspěvku s názvem "Pokemon Go je obrovské bezpečnostní riziko" na svém blogu. Ve svém tweetu, který odkazuje na příspěvek, zavolá malware aplikace. Největší stánek s jídlem je, že „plný přístup“ znamená pouze:

Pokemon Go a Niantic mohou nyní:

• Přečtěte si všechny své e-maily
• Poslat e-mail jako vy
• Přístup ke všem dokumentům disku Google (včetně jejich odstranění)
• Podívejte se na historii vyhledávání a historii navigace v Mapách
• Přístup ke všem soukromým fotografiím, které můžete uložit do služby Fotografie Google
• A mnohem víc

Přístup ovlivnil všechny uživatele systému iOS a vybral uživatele systému Android. Chcete-li zjistit, zda jste se vzdali přístupu ke svému účtu, podívejte se zde.

Zdá se, že @NianticLabs _some_ Pokemon go instaluje plný přístup k propojeným účtům Google. Nějak proč?

- Adam Reeve (@adamreeve) 11. července 2016

Je velmi malý důvod, proč má Niantic takový přístup. Reeve píše, že „osvědčené postupy (a jednoduchá logika) diktují“, že aplikace žádají o minimální požadované informace - „což jsou obvykle jen jednoduché kontaktní informace“. V důsledku toho Reeve hádá, že se jednalo o dohled - třebaže velký dohledu - v zastoupení společnosti Niantic.

„To je pravděpodobně jen důsledek epické nedbalosti. Nevím nic o bezpečnostních politikách společnosti Niantic. Nevím, jak dobře budou chránit tuto úžasnou novou moc, kterou jim udělili, a upřímně řečeno, vůbec jim nedůvěřuji. Zrušil (a) jsem jejich přístup k účtu a aplikaci odstranil. Opravdu si přeji, abych mohl hrát, vypadá to skvělá zábava, ale není to způsob, jak to stojí za to. “

Stále je tu něco, co se děje. Pokud aplikace požádá o povolení, společnost Google by měla rychle informovat uživatele, kolik oprávnění uděluje. V tomto případě neexistovala žádná taková výzva: uživatelé si vytvořili účet a - bez ohledu na ně - rozdali plný přístup.

Problém není, že Pokemon Go má přístup k vašemu účtu Google, je to o tom, že Google vás nikdy nežádá o udělení přístupu. Nemělo by to být možné.

- SecuriTay (@SwiftOnSecurity) 11. července 2016

Dále, Niantic není znepokojující: mluvčí Ars Technica pouze následující: „Žádný komentář ke sdílení v tuto chvíli.“

Buď Google goofed, nebo Niantic dělá automatizaci prohlížeče programově souhlasit s bezpečnostním varováním Google. Hlavní problém v obou směrech.

- SecuriTay (@SwiftOnSecurity) 11. července 2016

Vlastní Niantic Pokémon GO Zásady ochrany osobních údajů zahrnují následující, které - vzhledem k výše uvedenému - jsou zavádějící:

„Během hraní her a když se zaregistrujete k vytvoření účtu u nás… budeme shromažďovat určité informace, které lze použít k identifikaci nebo rozpoznání („ PII “). Konkrétně, protože musíte mít účet u společnosti Google před registrací k vytvoření účtu, budeme shromažďovat údaje PII (například e-mailovou adresu Google…), které nám umožní vaše nastavení ochrany osobních údajů pomocí služby Google….

A horší:

„Po ukončení nebo deaktivaci vašeho… účtu může společnost Niantic, její klienti, přidružené společnosti nebo poskytovatelé služeb uchovávat informace… a obsah uživatelů po komerčně přiměřenou dobu…“

Pokud jste někdo, kdo si váží Pokémona nad vaším soukromím, pak pokračujte, jako by se nic nestalo. Chcete-li si svůj účet Google ponechat pro sebe, měli byste zrušit přístup. (Odvolání přístupu údajně neovlivní váš těžce vydělaný Pokémon.)

Pokud se ještě nezaregistrujete, stačí použít účet Google pro vypalovačku. Díky tomu, že uživatelská základna je velká a každým dnem roste, nemůže být zneužití daleko daleko.