פוקימון GO הוא "Malware" ו "סיכון אבטחה ענק": מומחה אבטחה

אם אתה חי מתחת לסלע בשבוע האחרון, פוקימון GO הוא משחק פופולרי יותר ויותר. זה כבר להכות טינדר ו מתחרה לצפצף משתמשים פעילים מדי יום. המשחק הוא רק חמישה ימים, וכבר יש כמעט 50,000 ביקורות ב- iOS App Store. אנשים מבלים הרבה יותר זמן בחיפוש אחר פוקימון ממה שהם מבלים על WhatsApp, Instagram, Snapchat, או פייסבוק Messenger.

ההצלחה של פוקימון GO הוא נהדר עבור היוצר שלה Niantic, ועל מיליוני שהורידו את זה. מלבד דבר אחד: יש פגיעות ביטחונית גדולה, ואף אחד לא ממש בטוח למה זה קיים.

יומיים לאחר שחרורו של המשחק, מומחה האבטחה אדם ריב צייץ על הפגיעות. בשל הביקוש המכריע של המשחק, משתמשים חדשים - אם השרתים overburdened היו מתפקדים - נאלצו להיכנס באמצעות חשבון Google. אלה שעשו זאת יכלו אז להתחיל לשחק. עם זאת, לא גוגל ולא פוקימון GO App עצמו הזהיר משתמשים חדשים כמה פרטיות הם מקריבים.

מתברר שזה די הרבה.

"גישה מלאה". זה צריך להישמע כמו קצת. זה. ריב כותב בפוסט שכותרתו "Pokemon Go הוא סיכון ביטחוני עצום" בבלוג שלו. ב טוויט שלו קישור לכתוב, הוא קורא את התוכנה זדונית. The Takeaway הגדול ביותר הוא כי "גישה מלאה" פשוט אומר:

פוקימון עבור ו Niantic יכול עכשיו:

• קרא את כל הדוא"ל שלך
• שלח דוא"ל כמוך
• גש לכל מסמכי Google Drive (כולל מחיקתם)
• עיין בהיסטוריית החיפושים שלך ובהיסטוריית הניווט של מפות Google
• גש לתמונות פרטיות שאתה יכול לאחסן באלבומי Google
• ועוד הרבה

הגישה השפיעה על כל משתמשי iOS ובחר משתמשי Android. כדי לראות אם אתה עצמך ויתר על גישה לחשבון שלך, עיין כאן.

אז @NantanticLabs נראה _some_ Pokemon ללכת התקנות מקבלים גישה מלאה חשבונות Google מקושרים. יש לך מושג למה?

- אדם ריב (@adamreeve) יולי 11, 2016

יש מעט מאוד סיבה Niantic יש גישה זו הרבה. ריב כותב כי "שיטות העבודה המומלצות (וההיגיון הפשוט) מכתיבות כי" היישומים מבקשים את המידע המינימלי הנדרש ", שהוא בדרך כלל פשוט מידע ליצירת קשר". כתוצאה מכך, ריב מנחש שזה היה פיקוח - אם כי גדול פיקוח - מטעם ניאנטיק.

"זה כנראה רק תוצאה של רשלנות אפי. אבל אני לא יודע כלום על מדיניות הביטחון של ניאנטיק. אני לא יודע כמה טוב הם ישמרו על זה כוח חדש מדהים שהם העניקו את עצמם, ואני בכנות אני לא סומך עליהם בכלל. ביטלתי את הגישה אל החשבון שלי, ומחקתי את האפליקציה. אני באמת רוצה לשחק, זה נראה כיף גדול, אבל אין סיכוי שזה שווה את הסיכון."

ובכל זאת, יש משהו חשוד קורה. כאשר אפליקציה מבקשת הרשאות, Google צריכה להודיע ​​למשתמשים במהירות על מספר ההרשאות שהם מעניקים. במקרה זה, לא היה כל כך מהיר: משתמשים יצרו חשבון, ו - ללא ידיעתם ​​אליהם - נתן גישה מלאה.

הבעיה היא שלא ל- Pokemon Go יש גישה לחשבון Google שלך, אלא ש- Google אף פעם לא מבקשת ממך להעניק לו גישה. לא צריך להיות אפשרי.

- SecuriTay (@SwiftOnSecurity) יולי 11, 2016

יתר על כן, עדיין, Niant אינו מפיג דאגה: דובר אמר ארס טכנאי רק את הדברים הבאים: "אין תגובה לשתף כרגע."

או ש- Google מטומטמת, או ש- Niant עושה אוטומציה של הדפדפן כדי להסכים באופן פרוגרמטי לאזהרת האבטחה של Google. הבעיה העיקרית בכל מקרה.

- SecuriTay (@SwiftOnSecurity) יולי 11, 2016

של ניאנטיק פוקימון GO מדיניות הפרטיות כוללת את האמור להלן, אשר - בהתחשב באמור לעיל - נראה מטעה:

"במהלך המשחק וכאשר אתה … הירשם כדי ליצור חשבון איתנו … אנו אוספים מידע מסוים שניתן להשתמש בהם כדי לזהות או לזהות אותך ('PII'). באופן ספציפי, מכיוון שעליך להיות לך חשבון ב- Google לפני שתירשם כדי ליצור חשבון, נאסוף פרטים אישיים מזהים (כגון כתובת הדוא"ל שלך ב- Google …) שהגדרות הפרטיות שלך עם Google … מאפשרים לנו לגשת.

וגרוע מזה:

"לאחר סיום או ביטול של … חשבון, Niantic, הלקוחות שלה, חברות קשורות או ספקי שירות עשויים לשמור מידע … ותוכן המשתמש לתקופה זמן סביר מבחינה מסחרית …"

אם אתה מישהו אוצר הפוקימון שלך על הפרטיות שלך, ואז להמשיך כאילו כלום לא קרה. אם אתה מעדיף לשמור את חשבון Google שלך ​​בפני עצמך, עליך לבטל את הגישה. (שלילת גישה מדווח אינה משפיעה על הפוקימון שלך).

אם עדיין לא נרשמת, השתמש בחשבון Google צורב. עם בסיס משתמשים זה גדול וגדל מיום ליום, מנצלים לא יכול להיות הרחק מאחור.