Pokemon Go e accuse di scarsa sicurezza, cosa bisogna sapere
Sei giorni dopo il lancio ufficiale in alcuni paesi, Pokemon Go è diventato uno dei giochi mobile piu’ scaricati perchè semplicemente è un gioco per smartphone che è diverso da qualsiasi altro lanciato negli ultimi anni. Non sono tuttavia mancate le polemiche, e in particolare ci sono esperti della sicurezza che ritengono Pokemon Go "un enorme rischio per la sicurezza" in quanto i giocatori danno al gioco "pieno accesso" al proprio account Google.
Lo sviluppatore del gioco Pokemon Go, Niantic Labs, ha riconosciuto che ‘erroneamente’ ha chiesto il permesso di accesso completo all’account Google degli utenti su iOS, in quanto in realtà riceve solo le ‘informazioni di base del profilo Google’ e ha lavorato per correggere per il problema, che ora sembra essere risolto.
Chi si registrava a Pokémon Go tramite l’app per iOS usando il proprio account Google dava all’app "il pieno accesso" al proprio account Google, il che ha portato molti a pensare che il software poteva entrare in possesso di informazioni come le e-mail e la cronologia delle posizioni e tutto cio’ che Google conserva nell’account dell’utente, comprese password di Chrome e anche dati delle carte di credito. Niantic ha tranquillizzato gli utenti, specificando in una dichiarazione che l’app riceve solo le "informazioni di base profilo Google" e quindi ha promesso di sistemare la sezione dedicata alla registrazione dove venivano riportate erroneamente il tipo di informazioni dell’account Google che gli utenti accettavano di condividere con il gioco.
Pokemon Go per Android e iOS disponibile da Luglio
http://www.pianetacellulare.it/Articoli/Giochi/42309_Pokemon-Go-per-Android-e-iOS-disponibile-da-Luglio.php
Ecco la dichiarazione completa che Niantic ha fornito:
"Abbiamo recentemente scoperto che il processo di creazione di un account Pokémon GO su iOS richiede erroneamente l’ accesso completo all’account Google dell’utente. Tuttavia, Pokémon Go accede solo alle informazioni di profilo di base di Google (in particolare, l’ID utente e indirizzo email) e non ha accesso ad altre informazioni dell’account Google. una volta che siamo venuti a conoscenza di questo errore, abbiamo iniziato a lavorare su una correzione lato client per richiedere il permesso solo a fornire le informazioni di base del profilo di Google, in linea con i dati a cui abbiamo effettivamente accesso. Google ha verificato che nessun’altra informazione viene condivisa quando si accede a Pokémon Go a Niantic."
Per quanto riguarda gli utenti che si erano gia’ registrati a Pokémon Go dando accesso completo al loro profilo Google, Niantic ha fatto sapere che la società di Mountain View avrebbe cambiato il tipo di permesso fornito dagli utenti in automatico, quindi "gli utenti [gia’ registrati] non hanno bisogno di compiere azioni".
Riassumendo, Pokemon Go ha effettivamente richiesto "accesso completo all’account Google" agli utenti iOS, ma Niantic ha riconosciuto che Pokemon Go ha richiesto più autorizzazioni di quelle di cui ha effettivamente bisogno, e un aggiornamento lato client (quindi non è servito aggiornare l’app) ha poi sistemato le cose.
Dare accesso completo al proprio profilo Google significa dare un accesso illimitato ad una quantità impressionante di informazioni: le proprie e-mail, calendari, mappe, cronologia delle posizioni, cronologia delle ricerche, numeri di telefono, dati di pagamenti e tanto altro, in pratica quasi tutto cio’ che un utente condivide di personale con il proprio account Google. In termini di privacy, questo rappresenta una potenziale minaccia per la sicurezza, in quanto anche solo la capacità di leggere la posta elettronica potrebbe mettere molte altre informazioni personali a rischio (pensate a quanti altri account si gestiscono con un indirizzo email). Google a tal proposito ricorda che "Il privilegio ‘accesso completo all’account’ dovrebbe essere concesso solo alle applicazioni completamente attendibili, e che sono installate sul personal computer, telefono o tablet", la società scrive sulla sua pagina di supporto.
Adam Reeve, un dipendente della società di sicurezza Red Owl, è stato il primo a segnalare il problema.
Pokemon GO: Attenzione ai download non ufficiali
Mentre il problema della sicurezza con l’app ufficiale di Pokemon GO su iOS è stato presto risolto, Niantic e Google non possono intervenire se gli utenti scaricano versioni non ufficiali dell’app, software che si spacciano per l’originale Pokemon GO, di cui ne stanno circolando alcune in questi giorni. La società di sicurezza ProofPoint ha trovato sul web un APK in particolare contenente una versione modificata di Pokemon GO che include il malware DroidJack, una backdoor che permette agli hacker dall’altra parte di ascoltare le conversazioni e prendere il controllo della fotocamera senza che l’utente se ne accorga. L’applicazione è diversa in termini di design dalla versione ufficiale, ma è abbastanza simile da poter ingannare molti utenti. Un consiglio? Non scaricate file .APK da poter installare manualmente: scaricate Pokemon GO (ma vale anche per molte altre app) solo dagli store ufficiali Google Play e AppStore di Apple.
Pokemon GO – video promo
Un gruppo di hacker ha attaccato i server del gioco Pokémon GO, rendendo quasi impossibile giocare.
Se siete tra i giocatori di Pokemon Go che dal fine settimana iniziato con sabato 16 luglio hanno problemi a giocare al titolo sappiate che non è colpa vostra o del vostro smartphone, e nemmeno dell’app in se’. Infatti, un team di hacker chiamato OurMine ha trascorso gli ultimi giorni a colpire i server d’accesso di Pokemon GO con un insieme di attacchi di tipo Distributed Denial of Service (DDoS). Questo è il motivo per cui l’app sul vostro smartphone o tablet si bloccava, era lenta a caricare o andava in crash.
Un attacco DDoS è un malfunzionamento dovuto ad un attacco informatico in cui si esauriscono deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client, ad esempio un sito web su un web server, fino a renderlo non più in grado di erogare il servizio ai client richiedenti. Riguardo a Pokemon GO, gli hacker che hanno rivendicato gli attacchi al server del gioco hanno volutamente cercato di esaurire le risorse dei server a cui si collegano tutti i giocatori del mondo sovraccaricando di fatti i sistemi.
Il gruppo OurMine ha detto che non metterà fine agli attacchi fino a quando i rappresentanti di Pokemon Go non li contatteranno. In un post sul proprio sito web, il gruppo ha scritto: "Nessuno sarà in grado di giocare a questo gioco fino a quando i creatori di Pokemon GO non ci contatteranno sul nostro sito web per insegnare loro come per proteggerlo!"
Il picco di disagi per gli utenti di Pokemon Go si è registrato nella giornata di Domenica 17 Luglio, un giorno festivo in cui molte persone hanno deciso di dedicarsi alla caccia dei Pokemon per le strade della loro città. Purtroppo per loro, saranno riusciti a catturare solo pochi Pokemon questo weekend.
Il gruppo di hacker noto col nome OurMine è diventato famoso per aver hackerato gli account social di diversi personaggi famosi, tra cui di recente il profilo Twitter di Jack Dorsey.
L’attacco non è volto a rubare dati personali dei giocatori di Pokemon GO, ma solo creare disagi per essi. Il gruppo di hacker probabilmente vuole dimostrare le proprie abilità, o forse vuole solo invitare gli sviluppatori del gioco a rendere l’applicazione piu’ sicura.
Al momento in cui scriviamo, gli attacchi sembra che siano ancora in corso.
