當前位置：安全 → 企業動態 → 正文

當心，Pokemon Go可能會“抓取”你的個人信息

責任編輯：editor007 作者：張丹 |來源：企業網D1Net 2016-07-28 21:10:18 本文摘自：雷鋒網

結合了AR和LBS（基于地理位置服務）技術的Pokemon Go自上線以來，不僅刷爆了朋友圈，也持續霸占著各大應用商店免費應用下載排行榜的前排寶座。有相關數據顯示，

這款游戲目前在美國的下載量已超過750萬次，每天平均活躍用戶的數量直逼Twitter，用戶平均每天玩43分鐘，超過了Instagram。

雖然目前Pokemon Go只在美國、新西蘭、澳大利亞等27國家正式上線。中國地區仍然處于IP+GPS雙鎖定的狀態，但仍有不少玩家跨區下載。當大家開著定位，滿世界瘋狂尋找小精靈的時候，你的個人信息也可能成為了別人的抓取目標。有位玩家就在Tumblr上發文吐槽了開發商對用戶個人隱私保護的“疏忽”。

風險1：關聯賬戶

為了玩這個游戲，你需要一個個人賬戶。但不能直接在游戲界面創建，需要使用谷歌賬號或者Pokemon官網注冊賬號。由于Pokemon官網出現故障，暫時不能注冊新用戶，故只能通過谷歌賬戶來登陸。那么問題來了。

啟動游戲，點擊關聯谷歌賬戶定向登錄時，通常用戶會收到一條安全提示：此賬號將與XX應用相關聯，該應用將獲取此賬號的部分個人資料。但這名玩家發現，他并沒有收到此類提示，即便如此，還是繼續登錄了。隨后他去自己的Google賬戶查看了下被授予的權限，發現：Pokemon Go已對谷歌賬戶有“完全訪問權限”。

當心，Pokemon Go可能會“抓取”你的個人信息

　　在谷歌官方幫助頁面中，對“完全訪問權限”的解釋是：

當你授權給一個應用程序的完全訪問權限時，此關聯應用程序可以訪問到你谷歌賬戶的所有信息。

也就是說，當你授權Pokemon Go以后，游戲開發商可以

讀取你所有的郵件信息

以你的身份發送郵件

訪問你的谷歌云盤，并可以刪除里面的文件

查看你的搜素記錄以及導航記錄

訪問你存儲于谷歌相冊里的所有個人照片

以及其他各種個人信息

而使用Gmail郵件作為用戶授權認證機制（比如修改密碼），游戲開發商也有很大可能獲得你其他網站賬戶的訪問權限。這名玩家在文中表示，雖然，Niantic公司計劃進行全球個人信息竊取的可能性不大，這個漏洞可能僅僅是一時疏忽造成的。但具體的細節我們不得而知，并立刻撤銷了Google 賬戶授權，刪除了Pokemon Go游戲應用。

隨后，Pokemon Go官方對該問題發表了聲明稱，他們已注意到這個問題，并表示Niantic公司僅僅只會獲取用戶最基本的谷歌賬戶信息，同時針對該問題首次對Pokémon Go發布了更新版本（version 1.0.1）。谷歌官方也證實了Niantic公司并未獲取除了用戶的ID和郵箱地址外的其他信息。

不管是否真如Niantic公司和谷歌所言，PokémonGo確實擁有用戶谷歌賬戶的完全訪問權限，對沒有及時更新應用的用戶來說無疑是一個巨大的安全威脅。

雖然開發人員設置這種用谷歌賬號的登陸方式時，通常也會對自己所需要的操作權限有一個限定，但最好的辦法是，讓用戶自己決定訪問權限。

風險2：仿版

據安全公司Proofpoint報告，在7月7日，即游戲正式發布的第三天，他們就發現有非官方渠道發布的Pokemon GO游戲安裝包（.apk文件）中包含DroidJack惡意代碼。

DroidJack是一個遠程控制惡意工具，它可以攻擊安卓設備，為攻擊者種下后門，讓其通過遠程控制的方式進行木馬攻擊。

對于還無法在官方應用商店下載到游戲的用戶，通過第三方APP市場下載來源不可信的應用成為了很多人的選擇，而這也為攻擊者發動攻擊提供可能。

雖然這個惡意的APK并沒有大規模的傳播，但是它的上傳時間距離官方在新西蘭和澳大利亞正式上線Pokémon Go僅僅只有72小時。也從一定程度上說明了網絡攻擊者可以利用Pokémon Go來誘導全世界范圍內的用戶安裝他們的惡意軟件，從而實施大范圍的網絡犯罪。

惡意Pokémon Go應用的登陸界面，與合法的Pokémon Go應用的登陸界面完全相同，用戶幾乎不可能從界面上發現他們安裝的是惡意應用。

當心，Pokemon Go可能會“抓取”你的個人信息