Pokémon GO es "Malware" y un "gran riesgo de seguridad": experto en seguridad

En caso de que hayas vivido bajo una roca durante la semana pasada, Pokémon GO es un juego para móviles de realidad aumentada y escandalosamente popular. Ya está superando a Tinder y compitiendo con Twitter en los usuarios activos diarios. El juego tiene solo cinco días y ya hay casi 50,000 reseñas en la App Store de iOS. Las personas pasan mucho más tiempo buscando Pokémon que lo que gastan en WhatsApp, Instagram, Snapchat o Facebook Messenger.

El éxito de Pokémon GO es genial para su creador Niantic, y para los millones que lo han descargado. Excepto por una cosa: hay una gran vulnerabilidad de seguridad, y nadie está muy seguro de por qué existe.

Dos días después del lanzamiento del juego, el experto en seguridad Adam Reeve tuiteó sobre la vulnerabilidad. Debido a la abrumadora demanda del juego, los nuevos usuarios, si los servidores sobrecargados estaban funcionando, se vieron obligados a iniciar sesión con una cuenta de Google. Los que lo hicieron pudieron entonces comenzar a jugar. Sin embargo, ni Google ni el Pokémon GO La aplicación misma advirtió a los nuevos usuarios cuánta privacidad estaban sacrificando.

Resulta que es bastante

"Acceso completo". Eso debería sonar un poco demasiado. Es. Reeve escribe en una publicación titulada "Pokemon Go es un gran riesgo de seguridad" en su blog. En su tweet que enlaza con la publicación, él llama a la aplicación malware. Lo más importante es que "acceso completo" significa simplemente:

Pokemon Go y Niantic ahora pueden:

• Lee todo tu email
• Enviar correo electrónico como usted
• Accede a todos tus documentos de Google Drive (incluyendo su eliminación)
• Mira tu historial de búsqueda y tu historial de navegación de Mapas
• Accede a cualquier foto privada que puedas almacenar en Google Photos
• Y mucho más

El acceso afectó a todos los usuarios de iOS y seleccionó a los usuarios de Android. Para ver si usted mismo ha renunciado al acceso a su cuenta, consulte aquí.

Entonces, parece que @NianticLabs _alguna_ instalación de Pokemon Go está obteniendo acceso completo a las cuentas de Google vinculadas. ¿Alguna idea de por qué?

- Adam Reeve (@adamreeve) 11 de julio de 2016

Hay muy pocas razones para que Niantic tenga tanto acceso. Reeve escribe que las "mejores prácticas (y la lógica simple) dictan" que las aplicaciones piden la información mínima requerida, "que generalmente es solo información de contacto simple". Como resultado, Reeve adivina que esto fue un descuido, aunque sea un error. grande supervisión - en nombre de Niantic.

“Este es probablemente el resultado de un descuido épico. Pero no sé nada sobre las políticas de seguridad de Niantic. No sé qué tan bien guardarán este nuevo e impresionante poder que se han otorgado a sí mismos, y francamente no confío en ellos en absoluto. He revocado su acceso a mi cuenta y he eliminado la aplicación. Realmente desearía poder jugar, parece muy divertido, pero no hay forma de que valga la pena el riesgo ".

Aún así, hay algo sospechoso pasando. Cuando una aplicación solicita permisos, Google debe ser rápido para informar a los usuarios cuántos permisos están otorgando. En este caso, no hubo tal aviso: los usuarios crearon una cuenta y, sin saberlo, cedieron el acceso completo.

El problema no es que Pokemon Go tenga acceso a su cuenta de Google, sino que Google nunca le pide que le otorgue acceso. No debería ser posible.

- SecuriTay (@SwiftOnSecurity) 11 de julio de 2016

Además, aún así, Niantic no está disipando la preocupación: un portavoz dijo Ars Technica Sólo lo siguiente: "No hay comentarios para compartir en este momento".

Ya sea que Google se haya equivocado, o Niantic está haciendo la automatización del navegador para aceptar mediante programación la advertencia de seguridad de Google. Gran problema de cualquier manera.

- SecuriTay (@SwiftOnSecurity) 11 de julio de 2016

Propia de niantic Pokémon GO La política de privacidad incluye lo siguiente, lo que, dado lo anterior, parece engañoso:

"Durante el juego y cuando … te registras para crear una cuenta con nosotros … recopilaremos cierta información que se puede usar para identificarte o reconocerte (" PII "). Específicamente, debido a que debe tener una cuenta en Google antes de registrarse para crear una Cuenta, recopilaremos la PII (como su dirección de correo electrónico de Google …) a la que su configuración de privacidad con Google … nos permite acceder.

Y peor aún

"Tras la finalización o desactivación de su … Cuenta, Niantic, sus clientes, afiliados o proveedores de servicios pueden retener información … y el contenido del usuario por un período de tiempo comercialmente razonable …"

Si eres alguien que atesora a tus Pokémon por tu privacidad, continúa como si nada hubiera pasado. Si prefiere mantener su cuenta de Google para usted, debe revocar el acceso. (Al parecer, la revocación del acceso no afecta a tus Pokémon ganados).

Si aún no se ha registrado, solo use una grabadora de cuenta de Google. Con una base de usuarios tan grande y creciente cada día, los exploits no pueden estar muy lejos.