Pokémon GO ist "Malware" und ein "enormes Sicherheitsrisiko": Sicherheitsexperte

Falls Sie in der letzten Woche unter einem Felsen gelebt haben, Pokémon GO ist ein äußerst beliebtes, Augmented-Reality-Handyspiel. Es schlägt Tinder bereits und schlägt Twitter bei den täglichen aktiven Nutzern. Das Spiel ist erst fünf Tage alt und im iOS App Store gibt es bereits fast 50.000 Testberichte. Die Leute verbringen viel mehr Zeit damit, nach Pokémon zu suchen, als sie für WhatsApp, Instagram, Snapchat oder Facebook Messenger ausgeben.

Der Erfolg von Pokémon GO ist großartig für seinen Schöpfer Niantic und für die Millionen, die es heruntergeladen haben. Abgesehen von einer Sache: Es gibt eine große Sicherheitslücke, und niemand weiß genau, warum es existiert.

Zwei Tage nach der Veröffentlichung des Spiels twitterte der Sicherheitsexperte Adam Reeve über die Sicherheitsanfälligkeit. Aufgrund der überwältigenden Nachfrage des Spiels mussten sich neue Nutzer - sofern die überlasteten Server funktionierten - mit einem Google-Konto anmelden. Diejenigen, die dies taten, konnten dann mit dem Spielen beginnen. Allerdings weder Google noch das Pokémon GO App selbst warnte neue Benutzer, wie viel Privatsphäre sie opferten.

Es stellt sich heraus, dass es ziemlich viel ist.

„Voller Zugriff.“ Das hört sich nach viel an. Es ist. Reeve schreibt in einem Beitrag mit dem Titel "Pokemon Go ist ein großes Sicherheitsrisiko" in seinem Blog. In seinem Tweet, der auf den Beitrag verweist, bezeichnet er die App als Malware. Der größte Einstieg ist, dass "vollständiger Zugriff" nur bedeutet:

Pokemon Go und Niantic können jetzt:

• Lesen Sie alle Ihre E-Mails
• Senden Sie eine E-Mail als Sie
• Greifen Sie auf alle Ihre Google Drive-Dokumente zu (einschließlich Löschen).
• Sehen Sie sich Ihr Suchprotokoll und Ihr Karten-Navigationsprotokoll an
• Greifen Sie auf private Fotos zu, die Sie in Google Photos speichern
• Und noch viel mehr

Der Zugriff betrifft alle iOS-Benutzer und wählt Android-Benutzer aus. Hier erfahren Sie, ob Sie selbst den Zugriff auf Ihr Konto aufgegeben haben.

Bei @NianticLabs scheint es so, als würden _some_ Pokemon Go-Installationen vollen Zugriff auf verknüpfte Google-Konten erhalten. Irgendeine Idee warum?

- Adam Reeve (@adamreeve) 11. Juli 2016

Es gibt sehr wenig Grund für Niantic, so viel Zugang zu haben. Reeve schreibt, dass "Best Practices (und einfache Logik)" vorschreiben, dass Apps nach den minimal erforderlichen Informationen fragen - "was normalerweise nur einfache Kontaktinformationen sind." Daher schätzt Reeve, dass dies ein Versehen war - wenn auch ein groß Aufsicht - im Namen von Niantic.

„Dies ist wahrscheinlich nur das Ergebnis epischer Nachlässigkeit. Aber ich weiß nichts über die Sicherheitspolitik von Niantic. Ich weiß nicht, wie gut sie diese großartige neue Macht schützen werden, die sie sich selbst eingeräumt haben, und ehrlich gesagt, traue ich ihnen überhaupt nicht zu. Ich habe ihren Zugriff auf mein Konto widerrufen und die App gelöscht. Ich wünschte wirklich, ich könnte spielen, es sieht nach viel Spaß aus, aber das Risiko ist es auf keinen Fall wert."

Trotzdem läuft etwas faul. Wenn eine App nach Berechtigungen fragt, sollte Google die Nutzer schnell darüber informieren, wie viele Berechtigungen sie erteilen. In diesem Fall gab es keine solche Aufforderung: Benutzer erstellten ein Konto und gaben, ohne es zu wissen, den vollständigen Zugriff.

Das Problem besteht nicht darin, dass Pokemon Go Zugriff auf Ihr Google-Konto hat, sondern es wird von Google niemals verlangt, dass Sie ihm Zugriff gewähren. Sollte nicht möglich sein.

- SecuriTay (@SwiftOnSecurity) 11. Juli 2016

Darüber hinaus ist Niantic nicht besorgt: ein Sprecher teilte mit Ars Technica Nur das Folgende: "Momentan kein Kommentar."

Entweder hat Google die Nase vorn, oder Niantic führt Browser-Automatisierung durch, um die Sicherheitswarnung von Google programmgesteuert zu akzeptieren. Hauptausgabe so oder so.

- SecuriTay (@SwiftOnSecurity) 11. Juli 2016

Niantics eigene Pokémon GO Die Datenschutzrichtlinie beinhaltet Folgendes, was angesichts des oben genannten irreführend erscheint:

„Während des Spiels und wenn Sie… sich registrieren, um ein Konto bei uns einzurichten…, sammeln wir bestimmte Informationen, die zur Identifizierung oder Erkennung Ihrer Person verwendet werden können („ PII “). Da Sie vor der Registrierung zur Einrichtung eines Kontos ein Konto bei Google haben müssen, werden wir personenbezogene Daten (z. B. Ihre Google-E-Mail-Adresse…) erfassen, auf die wir aufgrund Ihrer Datenschutzeinstellungen bei Google zugreifen können.

Und noch schlimmer:

„Nach der Kündigung oder Deaktivierung Ihres… Kontos können Niantic, ihre Kunden, verbundenen Unternehmen oder Dienstanbieter Informationen… und Nutzerinhalte für einen wirtschaftlich angemessenen Zeitraum aufbewahren…“

Wenn Sie jemand sind, der Ihre Pokémon über Ihre Privatsphäre schätzt, fahren Sie fort, als ob nichts passiert wäre. Wenn Sie es vorziehen, Ihr Google-Konto für sich zu behalten, sollten Sie den Zugriff widerrufen. (Der Widerruf des Zugriffs wirkt sich Berichten zufolge nicht auf Ihr hart verdientes Pokémon aus.)

Wenn Sie sich noch nicht angemeldet haben, verwenden Sie einfach ein Google-Konto. Mit einer so großen und täglich wachsenden Benutzerbasis können Exploits nicht weit zurückliegen.