Pokémon Go 安全问题浅析
*本文原创作者:ArkTeam circlezhou,本文属FreeBuf原创奖励计划,未经许可禁止转载
眼下最活跃的AR(增强现实)手游口袋妖怪(PokémonGo)在全球的下载量已经突破1500万次。 这款“现象级”(规模之大形成了一种社会现象)的APP由任天堂、Pokémon 公司和谷歌NianticLabs公司联合制作开发,结合了AR技术和LBS(基于地理位置服务)技术,给玩家提供前所未有的游戏体验。 Pokémon Go在市场上获得了巨大了名气和社会影响力,并迅速成为了安卓和IOS平台中最受欢迎的游戏。
口袋妖怪是一款对现实世界中出现的精灵进行探索捕捉、战斗以及交换的游戏。玩家可以通过智能手机在现实世界里发现精灵,进行抓捕和战斗。目前该应用已经在美国、新西兰、澳大利亚等27国家正式上线。中国地区仍然处于IP+GPS双锁定的状态。
随着Pokémon Go的风靡,这款APP所带来的安全问题也引起了越来越广泛的关注。本文针对Pokémon Go面临的安全风险做了简单的介绍及分析并提出了一些安全建议。
一、用户信息泄露风险
使用Google账户登录用户面临隐私泄露风险。
该游戏最初版本允许玩家使用自己的谷歌账户直接登录游戏,在登录过程中用户并不会收到任何有关该APP对谷歌账户访问权限的提示信息,但是如果用户登录自己的谷歌账户查看该应用获得的权限信息,就会发现该应用对用户的谷歌账户有“完全访问权限”(Full Access)。
谷歌官方帮助页面中对“完全访问权限”的解释是:
“如果你授权给一个应用程序对谷歌账户的完全访问权限,这意味着它能修改几乎关于你谷歌账户的所有信息。”
让我们来看看如果你使用谷歌账户登录PokémonGo, Niantic公司将获得哪些权限:
(1)浏览你所有的Gmail邮件 (2)以你的身份发送邮件 (3)访问并可以删除你所有的Googledrive文件 (4)查看你的搜索历史以及你的地图导航历史 (5)访问你存储在GooglePhotos中的任何隐私照片 (6)其他各种信息
同时,如果用户使用Gmail邮件作为用户授权认证机制(比如修改密码),Niantic公司也有很大可能获得你其他网站账户的访问权限。当然,Niantic公司计划进行全球个人信息窃取的可能性不大,这个漏洞可能仅仅是一时疏忽造成的。
具体的细节我们不得而知,官方也就该问题发表了声明,并针对该问题首次对Pokémon Go发布了更新版本(version 1.0.1)。
在声明中,官方承认了上述问题,同时表示Niantic公司仅仅只会获取用户最基本的谷歌账户信息。谷歌官方也证实了Niantic公司并未获取除了用户的ID和邮箱地址外的其他信息。
不管是否真如Niantic公司和谷歌所言,PokémonGo确实拥有用户谷歌账户的完全访问权限,在这个信息泄露事件频发的时代,这对那些没有及时更新应用的用户来说无疑是一个巨大的安全威胁。
二、恶意软件威胁
从第三方市场下载来源不可信的Pokémon Go使用户面临恶意软件威胁。
PokémonGo在全球范围的流行,使得这款应用成为攻击者的目标。虽然Pokémon Go已经在全球27个国家正式上线,但对于那些还无法在官方应用商店下载到游戏的用户,去第三方APP市场下载来源不可信的应用成为了很多人的选择,而这也为攻击者发动攻击提供可能。
Proofpoint的研究人员就发现了被感染的PokémonGo APK。这个APK包含了一个叫做DroidJack(也被称为SandroRAT)的恶意工具,它可以攻击安卓设备,为攻击者种下后门。DroidJack是一个远程控制工具,它能让攻击者完全控制受害者的手机。
该远控工具在此前曾被赛门铁克和卡巴斯基等安全公司报道过。虽然这个恶意的APK并没有被大规模的下载,但是它的上传时间距离官方在新西兰和澳大利亚正式上线Pokémon Go仅仅只有72小时。
下图显示了恶意的Pokémon Go应用的登陆界面,该界面与合法的Pokémon Go应用的登陆界面完全相同,用户几乎不可能从界面上发现他们安装的是恶意应用。
从第三方安卓市场下载的口袋妖怪APP目前有两种方式来判断是否是恶意的APK。
第一种方式可以通过APK的SHA256哈希值来判断。
合法APK的SHA256哈希值如下:
8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67
而目前已经分析出的该恶意APK的SHA256哈希值则是:
15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4
第二种方式可以通过查看已安装的PokémonGo的权限来进行判断。图1显示了合法APK权限。下图2则显示了包含了DroidJack恶意APK在基本权限(图1)基础上增加的权限。
通过更进一步的分析发现嵌入了DroidJack的Pokémon Go版本比合法的版本在结构框架上增加了3个包:
a b net.droidjack.server
这个DroidJack 远程访问工具被配置与域名为pokemon.no-ip.org的C&C服务器通过1337端口进行通信。这个域名绑定在动态IP地址上,该域名指向一个属于土耳其的NO-IP.org网站。这个网站过去也曾被攻击者利用,对恶意软件操作进行掩护。
虽然这个恶意的APK并没有大规模的传播,但是它也从一定程度上说明了网络攻击者可以利用Pokémon Go来诱导全世界范围内的用户安装他们的恶意软件,从而实施大范围的网络犯罪。
三、用户人身安全
基于地理位置服务的游戏方式可能产生很多意想不到的安全问题。
PokémonGo是基于谷歌地图来实现地理位置信息服务相关的功能的,游戏上所显示的地图跟现实世界相关联,游戏地图是基于现实世界中的地图而生成,其中有稍作简化,而游戏中的角色位置是基于玩家在现实世界中的地理位置信息而定的。可以说游戏里的世界是对现实世界的抽象和映射。
PokémonGo基于LBS的游戏方式无疑是其最吸引人的地方之一,这种游戏方式关注人与人之间的互动和交流,但是游戏中的一些设定也很容易被一些不法分子利用。
美国密苏里州奥法伦地区警察局公开的一份声明中,有四名犯罪嫌疑人涉嫌利用Pokémon Go实施抢劫。这四名犯罪嫌疑人利用Pokémon Go当中的精灵驿站(PokéStops)做标记来吸引玩家上钩,进而实施抢劫。
美国奥兰多市最近也报道了2起用户在玩PokémonGo过程中由于忽视周围环境而被抢劫的事件。
PokémonGo这种游戏方式在促进人与人之间交流的同时,也对其用户的人身安全产生了很多不确定的威胁。
注:游戏中有两类地点会吸引玩家的聚集:
道馆(Gyms):道馆是一个异步的PVP(playersversus players)区域,口袋道馆一般位于城市里的各大知名景点。在道馆中,玩家可以挑战敌对阵营的口袋妖怪,或者与己方阵营的口袋妖怪进行训练。
道馆需要玩家从“红”、“黄”、“蓝”三个阵营中选择自己的所属。玩家需要尽可能多的为己方阵营占领道馆,从而获得更多资源。所以道馆往往会吸引很多玩家聚集。
精灵驿站(PokéStops):精灵驿站会随机出现在游戏地图中的任何地方(一般存在于公园,超市或是其他热闹的地方),它对应着现实世界中的某一地标,精灵驿站相隔一定时间便会刷新道具,玩家可以在此免费获得物品,因此,精灵驿站也会吸引大量玩家前往。
四、安全建议
基于以上几点安全威胁,现提出如下安全建议:
(1) 使用谷歌账号登陆游戏的用户下载使用最新版本Pokémon Go(version 1.0.1),并登录自己的Google账户检查游戏授权情况
(2)尽量不要从第三方APP市场下载来源未知的PokémonGo应用,目前游戏暂未正式上线的区域最好等待游戏上线后从官方的APP市场下载应用,用户可以登陆“Is Pokémon Go Available yet?”网站设置区域正式上线提醒
(3) 玩家在进行游戏过程中最好不要去安全状况不清楚的区域
五、总结
PokémonGo这款现象级的应用在全球范围内掀起一波又一波的热潮,但我们仍需要保持冷静,对其存在的安全性问题进行关注和思考,在体验游戏乐趣的同时,注意保护我们的个人信息安全、隐私安全甚至是人身安全。
参考文献
http://adamreeve.tumblr.com/post/147120922009/pokemon-go-is-a-huge-security-risk
http://www.theatlantic.com/technology/archive/2016/07/pokemon-go-is-a-no-go-for-security/490865/
https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app
http://www.freebuf.com/news/109023.html
http://www.theverge.com/2016/7/10/12142434/pokemon-go-armed-robberies-missouri
*本文原创作者:ArkTeam circlezhou,本文属FreeBuf原创奖励计划,未经许可禁止转载