Pokémon GO е "Malware" и "Огромен риск за сигурността": експерт по сигурността

В случай, че сте живели под скала през изминалата седмица, Pokémon GO е скандално популярна, допълнена реалност мобилна игра. Вече бие Tinder и съперничи на Twitter в ежедневни активни потребители. Играта е само на пет дни и вече има почти 50 000 ревюта в iOS App Store. Хората харчат много повече време да търсят покемони, отколкото харчат за WhatsApp, Instagram, Snapchat или Facebook Messenger.

Успехът на Pokémon GO е чудесно за създателя си Niantic и за милионите, които са го изтеглили. С изключение на едно: има голяма уязвимост в сигурността и никой не е сигурен защо съществува.

Два дни след пускането на играта, експертът по сигурността Адам Рийв пишеше за уязвимостта. Поради огромното търсене на играта, новите потребители, ако работят претоварените сървъри, бяха принудени да влязат в профила си с Google. Тези, които го направиха, бяха в състояние да започнат да играят. Но нито Google, нито Pokémon GO самото приложение предупреждава новите потребители колко личен живот те жертват.

Оказва се, че това е доста.

- Пълен достъп. - Това трябва да звучи много. То е. Рийв пише в пост, озаглавен “Pokemon Go е огромен риск за сигурността” в своя блог. В неговата връзка с публикацията, той нарича зловредния софтуер на приложението. Най-голямото закъснение е, че "пълен достъп" означава само:

Pokemon Go и Niantic сега могат:

• Прочетете всичките си имейли
• Изпратете имейл като вас
• Достъп до всички документи на Google за устройството (включително изтриването им)
• Погледнете историята на търсенията и историята на навигацията в Карти
• Достъп до всички лични снимки, които можете да съхранявате в Google Фото
• И много повече

Достъпът засяга всички потребители на iOS и избира потребители на Android. За да видите дали сами сте се отказали от достъпа до профила си, погледнете тук.

Така @NianticLabs изглежда _some_ Pokemon отиде инсталира получават пълен достъп до свързаните с Google акаунти. Някаква идея защо?

- Адам Рийв (@adamreeve) 11 юли 2016 г.

Има много малка причина Niantic да има толкова голям достъп. Рийв пише, че „най-добрите практики (и простата логика) диктуват”, че приложенията изискват минимално необходимата информация - „която обикновено е просто информация за контакт.” В резултат на това Рийв предполага, че това е пропуск - макар и голям надзор - от името на Niantic.

- Това вероятно е резултат от епична небрежност. Но аз не знам нищо за политиките за сигурност на Niantic. Не знам колко добре ще пазят тази страхотна нова власт, която са им дали, и честно казано, не им се доверявам изобщо. Премахнах достъпа им до профила си и изтрих приложението. Наистина ми се иска да мога да играя, изглежда доста забавно, но няма начин да рискуваме."

Все пак се случва нещо рибка. Когато дадено приложение поиска разрешение, Google трябва бързо да информира потребителите колко разрешения предоставят. В този случай не е имало такава подсказка: потребителите са създали акаунт и - без тях - не са дали пълен достъп.

Проблемът не е в това, че Pokemon Go има достъп до профила ви в Google, това е, че Google никога не иска от вас да му предоставите достъп. Не би трябвало да е възможно.

- SecuriTay (@SwiftOnSecurity) 11 юли 2016 г.

Освен това, Ниантик не разсейва безпокойството: каза говорител Ars Technica само следното: "Няма коментар за споделяне в момента."

Или Google губеше, или Niantic прави автоматизация на браузъра, за да се съгласи програмно с предупреждението за сигурност на Google. Голям проблем във всеки случай.

- SecuriTay (@SwiftOnSecurity) 11 юли 2016 г.

Собствената на Niantic Pokémon GO Декларацията за поверителност включва следното, което - като се има предвид горното - изглежда подвеждащо:

"По време на игра и … когато се регистрирате, за да създадете акаунт с нас … ние ще съберем определена информация, която може да се използва за идентифициране или разпознаване на вас (" PII "). По-конкретно, защото трябва да имате профил в Google, преди да се регистрирате, за да създадете профил, ние ще събираме PII (като вашия имейл адрес в Google …), че настройките ви за поверителност с Google … ни позволяват достъп.

И още по-лошо:

"След прекратяване или деактивиране на Вашата … Сметка, Niantic, нейните клиенти, филиали или доставчици на услуги могат да запазят информация … и потребителско съдържание за икономически разумни срокове …"

Ако сте човек, който съхранява покемоните си над личните ви данни, продължете, сякаш нищо не се е случило. Ако предпочитате да запазите профила си в Google за себе си, трябва да отмените достъпа. (Съобщава се, че отмяната на достъп не засяга трудно спечелените ви Pokémon.)

Ако все още не сте се регистрирали, трябва само да използвате профила в Google. С такава голяма и нарастваща дневна потребителска база, подвизите не могат да бъдат далеч назад.