Pokémon GO je "Malware" a "Obrovské bezpečnostné riziko": Bezpečnostný expert

V prípade, že ste minulý týždeň žili pod skalou, Pokémon GO je neuveriteľne populárna mobilná hra s rozšírenou realitou. Je to už bitie Tinder a súperenie Twitter v denných aktívnych užívateľov. Hra je len päť dní stará, a už existuje takmer 50.000 recenzií na iOS App Store. Ľudia trávia oveľa viac času hľadaním Pokémonov, než sú výdavky na WhatsApp, Instagram, Snapchat alebo Facebook Messenger.

Úspech Pokémon GO je skvelý pre svojho tvorcu Niantic, a pre milióny, ktorí si ho stiahli. Až na jednu vec: je tu veľká chyba zabezpečenia a nikto si nie je úplne istý, prečo existuje.

Dvaja dni po vydaní hry napísal bezpečnostný expert Adam Reeve túto chybu. Vzhľadom na ohromujúci dopyt po hre boli noví užívatelia - ak preťažené servery fungovali - nútení prihlásiť sa pomocou účtu Google. Tí, ktorí tak urobili, potom mohli začať hrať. Avšak ani spoločnosť Google, ani spoločnosť Pokémon GO samotná aplikácia upozornila nových používateľov, koľko súkromia obetovali.

Ukazuje sa, že je to dosť veľa.

„Úplný prístup.“ To by malo znieť trochu. To je. Reeve píše v príspevku s názvom "Pokemon Go je obrovské bezpečnostné riziko" na svojom blogu. V jeho pípanie odkaz na príspevok, on volá app malware. Najväčší stánok s jedlom je, že „plný prístup“ znamená len:

Pokemon Go a Niantic teraz môžu:

• Prečítajte si všetky vaše e-maily
• Poslať e-mail ako vy
• Prístup ku všetkým dokumentom na disku Google (vrátane ich odstránenia)
• Pozrite si históriu vyhľadávania a históriu navigácie v službe Mapy
• Prístup ku všetkým súkromným fotografiám, ktoré môžete uložiť do služby Fotografie Google
• A oveľa viac

Prístup ovplyvnil všetkých používateľov systému iOS a vybraných používateľov systému Android. Ak chcete zistiť, či ste sa vzdali prístupu k svojmu účtu, pozrite sa sem.

Takže @ NianticLabs sa zdá _some_ Pokemon ísť inštalácia sú stále plný prístup k prepojeným účty Google. Nejaký dôvod prečo?

- Adam Reeve (@adamreeve) 11. júla 2016

Niantic má len veľmi málo dôvodov, aby mal takýto prístup. Reeve píše, že „najlepšie postupy (a jednoduchá logika) diktujú“, že aplikácie žiadajú o minimálne požadované informácie - „čo sú zvyčajne len jednoduché kontaktné informácie.“ Výsledkom je, že Reeve odhaduje, že to bol dohľad - aj keď veľký dohľadu - v mene spoločnosti Niantic.

„Toto je pravdepodobne len výsledok epickej nedbanlivosti. Neviem nič o bezpečnostných politikách spoločnosti Niantic. Neviem, ako dobre budú strážiť túto úžasnú novú moc, ktorú im poskytli, a úprimne povedané, vôbec im neverím. Zrušil (-a) som svoj prístup k svojmu účtu a odstránil (-a) som aplikáciu. Naozaj si želám, aby som mohol hrať, vyzerá to skvelá zábava, ale nie je to spôsob, ako to stojí za to riskovať. “

Stále sa tu deje niečo smiešne. Keď aplikácia požiada o povolenia, spoločnosť Google by mala rýchlo informovať používateľov o tom, koľko povolení udeľuje. V tomto prípade nebola žiadna takáto výzva: používatelia vytvorili účet a - bez toho, aby im bolo známe - poskytli úplný prístup.

Problém nie je, že Pokemon Go má prístup k vášmu účtu Google, je to o tom, že Google vás nikdy nepožiada o udelenie prístupu. Nemalo by to byť možné.

- SecuriTay (@SwiftOnSecurity) 11. júla 2016

Niantic ďalej nespochybňuje obavy: povedal hovorca Ars Technica iba nasledujúce: „Momentálne nie je žiadny komentár na zdieľanie.“

Buď Google goofed, alebo Niantic robí automatizáciu prehliadača, aby programovo súhlasil s bezpečnostným varovaním spoločnosti Google. Hlavný problém v oboch smeroch.

- SecuriTay (@SwiftOnSecurity) 11. júla 2016

Niantic vlastné Pokémon GO Zásady ochrany osobných údajov zahŕňajú nasledujúce informácie, ktoré sa vzhľadom na uvedené skutočnosti javia ako zavádzajúce:

„Počas hry a keď sa zaregistrujete na vytvorenie účtu u nás… zbierame určité informácie, ktoré sa dajú použiť na identifikáciu alebo rozpoznanie („ PII “). Konkrétne, pretože pred registráciou na vytvorenie účtu musíte mať účet v spoločnosti Google, budeme zhromažďovať údaje PII (napríklad e-mailovú adresu Google…), ktoré nám umožnia prístup k nastaveniam ochrany osobných údajov v službe Google….

A horšie:

„Po ukončení alebo deaktivácii vášho… Účtu môže spoločnosť Niantic, jej klienti, pobočky alebo poskytovatelia služieb uchovávať informácie … a obsah používateľa na komerčne prijateľnú dobu …“

Ak ste niekto, kto si váži Pokémona nad vaším súkromím, potom pokračujte, akoby sa nič nestalo. Ak by ste radšej ponechali svoj účet Google pre seba, mali by ste zrušiť prístup. (Odvolanie prístupu údajne neovplyvňuje váš ťažko zarobený Pokémon.)

Ak ste sa ešte zaregistrovali, stačí použiť účet Google pre horák. Vďaka tomu, že užívateľská základňa je taká veľká a rastie v priebehu dňa, využívanie nemôže byť ďaleko za sebou.