Pokémon GO คือ "มัลแวร์" และ "ความเสี่ยงด้านความปลอดภัยขนาดใหญ่": ผู้เชี่ยวชาญด้านความปลอดภัย

$config[ads_kvadrat] not found

เวก้าผับ ฉบับพิเศษ

เวก้าผับ ฉบับพิเศษ
Anonim

ในกรณีที่คุณอยู่ใต้ก้อนหินในช่วงสัปดาห์ที่ผ่านมา โปเกมอน GO เป็นเกมมือถือที่ได้รับความนิยมเพิ่มขึ้น มันกำลังเต้น Tinder อยู่แล้วและแข่งขันกับ Twitter ในผู้ใช้ที่ทำงานประจำวัน เกมดังกล่าวมีอายุเพียงห้าวันและมีบทวิจารณ์เกือบ 50,000 รายการใน iOS App Store ผู้คนใช้เวลาค้นหาโปเกมอนมากกว่าใช้จ่ายใน WhatsApp, Instagram, Snapchat หรือ Facebook Messenger

ความสำเร็จของ โปเกมอน GO ดีมากสำหรับผู้สร้าง Niantic และสำหรับผู้ที่ดาวน์โหลดหลายล้านคน ยกเว้นสิ่งหนึ่ง: มีช่องโหว่ด้านความปลอดภัยที่สำคัญและไม่มีใครแน่ใจว่าทำไมถึงมีอยู่

สองวันหลังจากการเปิดตัวเกม Adam Reeve ผู้เชี่ยวชาญด้านความปลอดภัยได้ทวิตเกี่ยวกับช่องโหว่ เนื่องจากความต้องการที่ล้นหลามของเกมผู้ใช้ใหม่ - หากเซิร์ฟเวอร์ที่ทำงานหนักเกินไปถูกบังคับให้ลงชื่อเข้าใช้ด้วยบัญชี Google ผู้ที่ทำเช่นนั้นจะสามารถเริ่มเล่นได้ อย่างไรก็ตามทั้ง Google และ โปเกมอน GO แอพเตือนผู้ใช้ใหม่ว่าพวกเขาเสียสละความเป็นส่วนตัวมากแค่ไหน

ปรากฎว่ามันค่อนข้างเยอะ

“ เข้าถึงได้เต็มที่” นั่นน่าจะฟังดูดีมาก มันคือ. รีฟเขียนโพสต์ในหัวข้อ“ โปเกมอนโกเป็นความเสี่ยงด้านความปลอดภัยขนาดใหญ่” ในบล็อกของเขา ในทวีตของเขาที่ลิงก์ไปยังโพสต์เขาเรียกมัลแวร์แอปว่า Takeaway ที่ใหญ่ที่สุดคือ "การเข้าถึงแบบเต็ม" เพียงแค่หมายถึง:

Pokemon Go และ Niantic สามารถ:

  • อ่านอีเมลของคุณทั้งหมด
  • ส่งอีเมลตามที่คุณ
  • เข้าถึงเอกสารไดรฟ์ Google ทั้งหมดของคุณ (รวมถึงการลบ)
  • ดูประวัติการค้นหาและประวัติการนำทางแผนที่ของคุณ
  • เข้าถึงรูปภาพส่วนตัวที่คุณเก็บไว้ใน Google Photos
  • และอีกมากมาย

การเข้าถึงส่งผลกระทบต่อผู้ใช้ iOS และเลือกผู้ใช้ Android หากต้องการดูว่าคุณยอมแพ้การเข้าถึงบัญชีของคุณเองหรือไม่ให้ดูที่นี่

ดังนั้น @NianticLabs ดูเหมือนว่า _some_ Pokemon Go การติดตั้งกำลังเข้าถึงบัญชี Google ที่เชื่อมโยงอย่างเต็มรูปแบบ มีความคิดอะไรบ้าง

- Adam Reeve (@adamreeve) 11 กรกฎาคม 2559

มีเหตุผลน้อยมากที่ Niantic จะสามารถเข้าถึงสิ่งนี้ได้มาก รีฟเขียนว่า "แนวทางปฏิบัติที่ดีที่สุด (และตรรกะอย่างง่าย) กำหนด" ที่แอพขอข้อมูลขั้นต่ำที่ต้องการ - "ซึ่งมักจะเป็นเพียงข้อมูลการติดต่อที่เรียบง่าย" ดังนั้นรีฟจึงเดาว่านี่เป็นการดูแล - แม้ว่า ใหญ่ การกำกับดูแล - ในนามของ Niantic

“ นี่อาจเป็นเพียงผลมาจากความประมาทเลินเล่อ แต่ฉันไม่รู้อะไรเลยเกี่ยวกับนโยบายความปลอดภัยของ Niantic ฉันไม่รู้ว่าพวกเขาจะปกป้องพลังใหม่ที่ยอดเยี่ยมที่พวกเขาได้รับจากตัวเองได้ดีเพียงใดและฉันก็ไม่เชื่อใจพวกเขาเลย ฉันได้เพิกถอนการเข้าถึงบัญชีของพวกเขาและลบแอป ฉันหวังว่าฉันจะเล่นได้ดูเหมือนสนุกมาก แต่ก็ไม่มีทางที่จะเสี่ยงเช่นนี้”

ถึงกระนั้นก็ยังมีบางสิ่งที่น่าสนใจเกิดขึ้น เมื่อแอปขอสิทธิ์ Google ควรรีบแจ้งให้ผู้ใช้ทราบว่ามีการอนุญาตเท่าไร ในกรณีนี้ไม่มีพรอมต์ดังกล่าว: ผู้ใช้สร้างบัญชีและ - ไม่เป็นที่รู้จัก - ให้สิทธิ์การเข้าถึงอย่างเต็มที่

ปัญหาไม่ใช่ว่า Pokemon Go มีสิทธิ์เข้าถึงบัญชี Google ของคุณ แต่เป็นเพราะ Google ไม่เคยขอให้คุณให้สิทธิ์การเข้าถึง ไม่น่าจะเป็นไปได้

- SecuriTay (@SwiftOnSecurity) 11 กรกฎาคม 2559

ยิ่งไปกว่านั้น Niantic ยังไม่ได้ขจัดความกังวล: โฆษกบอก Ars Technica เฉพาะต่อไปนี้:“ ไม่มีความคิดเห็นที่จะแบ่งปันในขณะนี้”

Google goofed หรือ Niantic กำลังดำเนินการอัตโนมัติของเบราว์เซอร์เพื่อยอมรับคำเตือนความปลอดภัยของ Google โดยทางโปรแกรม ปัญหาใหญ่ทางใดทางหนึ่ง

- SecuriTay (@SwiftOnSecurity) 11 กรกฎาคม 2559

Niantic's เอง โปเกมอน GO นโยบายความเป็นส่วนตัวรวมถึงสิ่งต่อไปนี้ซึ่ง - ตามที่กล่าวมา - ดูเหมือนจะทำให้เข้าใจผิด:

“ ระหว่างเล่นเกมและเมื่อคุณ…ลงทะเบียนเพื่อสร้างบัญชีกับเรา…เราจะรวบรวมข้อมูลบางอย่างที่สามารถใช้เพื่อระบุตัวตนหรือจดจำคุณ (‘PII’) โดยเฉพาะเนื่องจากคุณต้องมีบัญชีกับ Google ก่อนที่จะลงทะเบียนเพื่อสร้างบัญชีเราจะรวบรวม PII (เช่นที่อยู่อีเมล Google ของคุณ …) ที่การตั้งค่าความเป็นส่วนตัวของคุณกับ Google … อนุญาตให้เราเข้าถึง

และแย่กว่านั้น:

“ หลังจากการยกเลิกหรือปิดการใช้งาน … บัญชีของคุณ Niantic ลูกค้า บริษัท ในเครือหรือผู้ให้บริการอาจเก็บข้อมูล … และเนื้อหาของผู้ใช้ในช่วงเวลาที่สมเหตุสมผลในเชิงพาณิชย์…”

หากคุณเป็นคนที่เก็บสมบัติโปเกมอนไว้เหนือความเป็นส่วนตัวของคุณให้ดำเนินการต่อราวกับว่าไม่มีอะไรเกิดขึ้น หากคุณต้องการเก็บบัญชี Google ไว้กับตัวเองคุณควรเพิกถอนการเข้าถึง (รายงานการเพิกถอนการเข้าถึงจะไม่มีผลกับโปเกมอนที่คุณหามาได้ยาก)

หากคุณยังไม่ได้สมัครใช้งานบัญชี Google Burner ด้วยฐานผู้ใช้ที่ยิ่งใหญ่และเติบโตในแต่ละวันการหาประโยชน์ไม่สามารถอยู่เบื้องหลังได้

$config[ads_kvadrat] not found