Pokémon GO "Kötü Amaçlı Yazılım" ve "Büyük Güvenlik Riski" dir: Güvenlik Uzmanı

Geçen hafta bir kayanın altında yaşıyorsanız, Pokémon GO son derece popüler, artırılmış gerçeklik mobil oyunudur. Zaten Tinder'ı geçiyor ve günlük aktif kullanıcılarda Twitter'a rakip oluyor. Oyun sadece beş gün eski ve iOS App Store'da neredeyse 50.000 yorum var. İnsanlar Pokémon'u aramak için WhatsApp, Instagram, Snapchat veya Facebook Messenger'a harcadıklarından çok daha fazla zaman harcıyorlar.

Başarısı Pokémon GO yaratıcısı Niantic ve indiren milyonlarca kişi için harika. Bir şey dışında: önemli bir güvenlik açığı var ve hiç kimse neden mevcut olduğundan emin değil.

Oyunun yayınlanmasından iki gün sonra, güvenlik uzmanı Adam Reeve bu güvenlik açığını tweetledi. Oyunun yoğun talebi nedeniyle, aşırı yüklenmiş sunucular çalışıyorsa, yeni kullanıcılar bir Google hesabı kullanarak giriş yapmak zorunda kaldılar. Bunu yapanlar daha sonra oynamaya başlayabildiler. Ancak, ne Google ne de Pokémon GO Uygulamanın kendisi yeni kullanıcıları ne kadar mahrem ettikleri konusunda uyardılar.

Oldukça fazla olduğu ortaya çıktı.

“Tam erişim.” Bu biraz ses gibi gelmeli. Bu. Reeve, blogunda “Pokemon Go çok büyük bir güvenlik riskidir” başlıklı bir yazı yazıyor. Gönderiyi ilişkilendiren tweet'inde, uygulama kötü amaçlı yazılımını çağırır. En büyük paket servisi, “tam erişim” anlamına gelir:

Pokemon Go ve Niantic şimdi yapabilir:

• Tüm e-postanı oku
• E-postayı senin gibi gönder
• Tüm Google sürücü belgelerinize erişin (silme dahil)
• Arama geçmişinize ve Haritalar gezinme geçmişinize bakın
• Google Foto’da saklayabileceğiniz tüm özel fotoğraflara erişin
• Ve bir sürü daha

Erişim, tüm iOS kullanıcılarını etkiledi ve Android kullanıcıları'nı seçti. Hesabınıza erişiminizi bırakıp bırakmadığınızı görmek için buraya bakın.

Yani @NianticLabs öyle görünüyor ki _some_ Pokemon go kurulumları bağlı google hesaplarına tam erişim elde ediyor. Neden bir fikrin var mı?

- Adam Reeve (@adamreeve) 11 Temmuz 2016

Niantic'in bu kadar erişime sahip olması için çok az sebep var. Reeve, uygulamaların gerekli olan asgari bilgileri istediğini - “genellikle basit iletişim bilgileri olan” en iyi uygulamalar (ve basit mantık) dikte ettiğini ”yazıyor. Sonuç olarak, Reeve bunun bir gözetim altında olduğunu tahmin ediyor - büyük gözetim - Niantic’in adına.

“Bu muhtemelen epik bir dikkatsizlik sonucudur. Ancak Niantic'in güvenlik politikaları hakkında hiçbir şey bilmiyorum. Kendilerine verdikleri bu harika yeni gücü ne kadar iyi koruyacaklarını bilmiyorum ve açıkçası onlara güvenmiyorum. Hesabıma erişimlerini iptal ettim ve uygulamayı sildim. Gerçekten oynayabilmeyi isterdim, çok eğlenceli görünüyor, ancak riske değmesine imkan yok. ”

Yine de, devam etmekte olan balıklar var. Bir uygulama izin istediğinde Google, kullanıcılara kaç izin verdiklerini bildirmek için hızlı olmalıdır. Bu durumda, böyle bir bilgi istemi olmadı: kullanıcılar bir hesap oluşturdular ve - kendilerinden habersiz - tam erişim sağladılar.

Sorun Pokemon Go’nun Google hesabınıza erişebilmesi değil, Google’a asla erişim izni vermenizi istememesidir. Mümkün olmamalı.

- SecuriTay (@SwiftOnSecurity) 11 Temmuz 2016

Dahası, yine de, Niantic endişe verici değil: bir söz söyleyen bir sözcü Ars Technica sadece aşağıdakiler: “Şu an paylaşılacak yorum yok.”

Google goofed ya da Niantic, Google’ın güvenlik uyarısını programlı olarak kabul etmek için tarayıcı otomasyonu yapıyor. Her iki şekilde de ana sorun.

- SecuriTay (@SwiftOnSecurity) 11 Temmuz 2016

Niantic'in kendi Pokémon GO Gizlilik politikası aşağıdakileri içerir - ki bunlardan yukarıda verilenler - yanıltıcıdır:

“Oyun sırasında ve siz… bizimle bir hesap oluşturmak için kayıt olduğunuzda… sizi tanımlamak veya tanımak için kullanılabilecek bazı bilgileri toplayacağız ('PII'). Özellikle, bir Hesap oluşturmak için kaydolmadan önce Google'da bir hesabınız olması gerektiğinden, PII (Google e-posta adresiniz gibi) Google’la yaptığınız gizlilik ayarlarınızın bize erişmesine izin verdiğini tahsil ederiz.

Ve daha da kötüsü:

“Hesabınızın feshedilmesi veya devre dışı bırakılmasının ardından… Hesabınız, Niantic, müşterileri, bağlı kuruluşları veya hizmet sağlayıcıları bilgileri… ve kullanıcı içeriğini ticari olarak makul bir süre boyunca saklayabilir…”

Pokémon'unuzu gizliliğinize değer veren bir kişiyseniz, hiçbir şey olmamış gibi devam edin. Google hesabınızı kendinize saklamayı tercih ederseniz, erişimi iptal etmelisiniz. (Erişimin iptal edildiği bildirildiğinde zor kazanılan Pokémon'unuzu etkilemez.)

Henüz kaydolmadıysanız, yalnızca bir brülör Google hesabı kullanın. Bir kullanıcı tabanının bu kadar büyük ve gün geçtikçe büyümesiyle istismarlar çok geride olamaz.