当心PokemonGo可能会抓取你的个人信息

2018年11月29日 来源:

结合了AR和LBS(基于地理位置服务)技术的Pokemon Go自上线以来,不仅刷爆了朋友圈,也持续霸占着各大应用商店免费应用下载排行榜的前排宝座。有相关数据显示,

这款游戏目前在美国的下载量已超过750万次,每天平均活跃用户的数量直逼Twitter,用户平均每天玩43分钟,超过了Instagram。

虽然目前Pokemon Go只在美国、新西兰、澳大利亚等27国家正式上线。中国地区仍然处于IP+GPS双锁定的状态,但仍有不少玩家跨区下载。当大家开着定位,满世界疯狂寻找小精灵的时候,你的个人信息也可能成为了别人的抓取目标。有位玩家就在Tumblr上发文吐槽了开发商对用户个人隐私保护的“疏忽”。

风险1:关联账户为了玩这个游戏,你需要一个个人账户。但不能直接在游戏界面创建,需要使用谷歌账号或者Pokemon官网注册账号。由于Pokemon官网出现故障,暂时不能注册新用户,故只能通过谷歌账户来登陆。那么问题来了。

启动游戏,点击关联谷歌账户定向登录时,通常用户会收到一条安全提示:此账号将与XX应用相关联,该应用将获取此账号的部分个人资料。但这名玩家发现,他并没有收到此类提示,即便如此,还是继续登录了。随后他去自己的Google账户查看了下被授予的权限,发现:Pokemon Go已对谷歌账户有“完全访问权限”。

图为Pokemon Go登陆界面

在谷歌官方帮助页面中,对“完全访问权限”的解释是:

当你授权给一个应用程序的完全访问权限时,此关联应用程序可以访问到你谷歌账户的所有信息。

也就是说,当你授权Pokemon Go以后,游戏开发商可以

读取你所有的邮件信息

以你的身份发送邮件

访问你的谷歌云盘,并可以删除里面的文件

查看你的搜素记录以及导航记录

访问你存储于谷歌相册里的所有个人照片

以及其他各种个人信息

而使用Gmail邮件作为用户授权认证机制(比如修改密码),游戏开发商也有很大可能获得你其他网站账户的访问权限。这名玩家在文中表示,虽然,Niantic公司计划进行全球个人信息窃取的可能性不大,这个漏洞可能仅仅是一时疏忽造成的。但具体的细节我们不得而知,并立刻撤销了Google 账户授权,删除了Pokemon Go游戏应用。

随后,Pokemon Go官方对该问题发表了声明称,他们已注意到这个问题,并表示Niantic公司仅仅只会获取用户最基本的谷歌账户信息,同时针对该问题首次对Pokémon Go发布了更新版本(version 1.0.1)。谷歌官方也证实了Niantic公司并未获取除了用户的ID和邮箱地址外的其他信息。

不管是否真如Niantic公司和谷歌所言,PokémonGo确实拥有用户谷歌账户的完全访问权限,对没有及时更新应用的用户来说无疑是一个巨大的安全威胁。

虽然开发人员设置这种用谷歌账号的登陆方式时,通常也会对自己所需要的操作权限有一个限定,但最好的办法是,让用户自己决定访问权限。

风险2: 仿版据安全公司Proofpoint报告,在7月7日,即游戏正式发布的第三天,他们就发现有非官方渠道发布的Pokemon GO游戏安装包(.apk文件)中包含DroidJack恶意代码。

DroidJack是一个远程控制恶意工具,它可以攻击安卓设备,为攻击者种下后门,让其通过远程控制的方式进行木马攻击。

对于还无法在官方应用商店下载到游戏的用户,通过第三方APP市场下载来源不可信的应用成为了很多人的选择,而这也为攻击者发动攻击提供可能。

虽然这个恶意的APK并没有大规模的传播,但是它的上传时间距离官方在新西兰和澳大利亚正式上线Pokémon Go仅仅只有72小时。也从一定程度上说明了网络攻击者可以利用Pokémon Go来诱导全世界范围内的用户安装他们的恶意软件,从而实施大范围的网络犯罪。

恶意Pokémon Go应用的登陆界面,与合法的Pokémon Go应用的登陆界面完全相同,用户几乎不可能从界面上发现他们安装的是恶意应用。

图为仿版Pokemon GO详情页面

雷锋网建议大家千万不要随意安装来路不明的APK,如果已经安装,那么可以按照下面的方法检查,你的Pokemon GO是否有问题。

进入应用程序的权限管理界面,查看已经安装的Pokemon GO具备哪些权限。如果包含发起电话呼叫、阅读短信、录制音频、修改地址簿中的联系人、读取网页历史或者更改Wi-Fi连接等不必要的权限,那么很可能你的Pokemon GO就是假的,因为开发商原版的游戏里并不要求以上这些高级权限。

目前,Pokemon GO安卓版情况较多,但是对于已越狱的苹果用户来说同样需要小心,因为木马和病毒也同样可以植入ipa文件里。

风险3:黑客攻击热门游戏通常会成为黑客的首选攻击目标。

一周前,黑客组织PoodleCorp对PoKemon Go的服务器进行DDos攻击,并导致服务器宕机,玩家暂时无法登陆游戏。PoodleCorp的老大XO还发推特表示,接下来他们将要展开更大规模的网络攻击。

已有外媒联系PoKemon Go开发商Niantic的开发者,询问其所采取的对策,并随时更新期进展。不过,这很难知道宣称对网络攻击负责的PoodleCorp规模有多大。也不清楚,他们是否还有其他目的。

雷锋网(公众号:雷锋网)建议喜欢PoKemon Go的用户,一定要谨慎授权(敲黑板,一定要谨慎),防止个人信息泄露。

相关文章
  • 环球时报西方构陷海外华人在道德上秀出下限
    环球时报西方构陷海外华人在道德上秀出下限

    原标题:@澳大利亚@德国@美国,是想让中国放手抓你们“间新郑碧桂园谍”吗? 如果中国仿效那些西方国家对它们那里华人社区的态度,那么北京一些外国人聚集的社区就该是“高度可疑”的。 继澳大利亚之后,新西兰安全部门也暗指中国企图获取这个国家的敏感...

  • 四川豪爽夫妻山西领取1200万福彩巨奖
    四川豪爽夫妻山西领取1200万福彩巨奖

    四川豪爽夫妻山西领取1200万巨奖  时隔1个半月,双色球奖池再破2亿  9月9日,山西省福彩中心兑奖室迎来了一位豪爽的汉子——王先生(化名),他是位四川人,已在山西太原做生意多年。陪他前来的还有他的妻子,两人留给工作人员的第一印象是比较严肃,...

  • 潜江一孩子头部被卡楼梯扶手消防拆扶手救人武汉信息在线
    潜江一孩子头部被卡楼梯扶手消防拆扶手救人武汉信息在线

    图为现场10月19日16时34分,潜江市梅嘴一居民楼有小孩头部被卡在楼梯扶手内无法出来。接警后,潜江消防中队立即出动1辆抢险救援消防车6名官兵迅速赶往现场。17时,消防官兵到达现场发现,该小孩脖颈处正好卡在了扶手中,啼哭不止,其家人正焦急等待着救援。...

  • 周琦特训为增重力量选秀前景最新预测将被魔术选走
    周琦特训为增重力量选秀前景最新预测将被魔术选走

    美国特训近照中国男篮主力中锋周琦今夏参加NBA选秀的传闻终于成为现实,北京时间4月15日深夜,周琦发布选秀声明,迈出了走向NBA舞台的第一步。不过中国男篮领队柴文胜和新疆男篮方面均表示不知情,周琦这一次选秀有些先斩后奏的意味,那么,周琦能顺利被NB...

  • 明天起我国北方将大幅降温最高降幅可达14
    明天起我国北方将大幅降温最高降幅可达14

    另据悉,今天早晨到上午,黄淮南部、江淮、江汉东部、江南、西南地区东部等地有轻雾,其中,江苏中北部、安徽北部和西南部、湖南西北部和东部、湖北东部、江西西北部、重庆西南部、贵州东部等地的部分地区有能见度不足1000米的雾,局地能见度不足500米。未...

  • 通过自动售卖机卖Kindle展示作用大过实际意义
    通过自动售卖机卖Kindle展示作用大过实际意义

    亚马逊近日突击在拉斯维加斯机场,安装了一台Kindle硬件自动售卖机,自动售卖机主要销售亚马逊旗下的少数硬件产品,比如379美元的KindleFire HDX平板,以及20美元的KindlePowerFas电源适配器,当然也可以买到Kindle阅读器和保护套。去年下半年在日本呆了很长时间,对日...