Endpoint Protection

 View Only

《口袋妖怪 GO》: 如何防止设备遭遇欺诈、恶意软件攻击和隐私问题 

Jul 16, 2016 01:27 AM

《口袋妖怪 GO》引起了全世界玩家的极大兴趣。尽管这款游戏仅在有限地区内发布,但其安装量在不到一周的时间就达到了几百万次。在7月8日这一天,美国安卓系统设备安装《口袋妖怪 GO》的次数比约会应用程序Tinder多出一倍。该游戏的日活跃用户人数几乎与推特一样多。

网络罪犯注意到了这种火爆现象,于是便想法设法利用社交媒体诈骗和木马应用程序来欺诈《口袋妖怪 GO》玩家。其他用户已制定出在这款游戏中作弊的新方法,比如GPS定位欺骗。而且,官方应用程序就请求获取隐私问题相关之权限也饱受争议。

依据这些报道,我们探究了《口袋妖怪 GO》周边的安全问题,以及保护设备的相关方法。

免费口袋金币诈骗
《口袋妖怪 GO》拥有应用程序内购买服务,用户在此可用真钱购买名为口袋金币(PokeCoin)的虚拟货币。玩家可用其购买相关物品,比如将口袋妖怪吸引至自己位置的香,或者孵化稀有口袋妖怪的蛋。 一些用户可能在网上寻求打折或免费的口袋金币,尝试绕过这个购买系统。不幸的是,诈骗者早就为此做好了准备。

如果用户在网上搜索“口袋妖怪GO 免费金币生成器”,则将找到很多能够将其带至典型调查型诈骗网站的链接。这些链接广传于互联网之上,从游戏论坛的帖子到精心制作的诈骗网站。大多数诈骗结果张贴于社交媒体网站,或采用带有所谓证据之视频证明口袋金币黑客工具真实有效。

Pokemon GO 1.png
图1. 诈骗网站要求用户确认他们是人工验证,之后才允许其获取子虚乌有的口袋金币黑客工具

一旦用户登录诈骗网站,网站将要求他们填写其在《口袋妖怪 GO》的用户名和所需金币数额。到目前为止,我们还没有发现有诈骗网站向用户要其在该游戏的密码。一些诈骗网站声称具有额外功能,比如特殊的防禁保证功能。然而,诈骗网站在要求玩家执行最后任务(人工认证)前仅是播放一段视频。

认证过程需要用户填写调查卷,安装应用程序或注册服务。而且,即使用户遵守诈骗者的指示也不会获取免费的口袋金币。相反,用户的参与使诈骗者能够通过分销联盟计划获取利润。依据诈骗网站短网址的统计数据,我们发现每个链接有几千人点击。

Pokemon GO 2.png
图2. 口袋金币诈骗网站要求用户进行人工验证

其它诈骗网站要求用户手动在推特或脸书网上分享一条信息才可获取免费的口袋金币。然而,不管发布多少次信息,用户永远也不会得到任何口袋金币。我们在社交媒体网站上的帖子中发现了数百个这种带有不同网址的信息。 据《2016年赛门铁克互联网安全威胁报告》声称,类似的人工分享式诈骗占2015年社交媒体诈骗的76%。

非官方渠道出现带有木马的《口袋妖怪 GO》应用程序
《口袋妖怪 GO》在大多数地区还没有正式发布。在该款应用程序发布的第一周,仅有美国、澳大利亚和新西兰可以使用。发布首先初始安卓设备用户或越狱版iPhone用户在非官方来源下载该应用程序。

网络攻击者利用这种需求,制作了将目标瞄准安卓设备的木马版游戏。正如之前所报道,恶意软件开发人员将远程访问木马(Android.Sandorat)伪装成《口袋妖怪 GO》。 该木马程序发布于多个下载网站和游戏论坛。如果安装了这种恶意版的应用程序,手机则将显示游戏开始画面,使用户认为没有不妥之处。然而,该木马使网络攻击者能够完全访问用户手机。

《口袋妖怪 GO》作弊者
除了恶意行为外,我们发现玩家们尝试在游戏中作弊,从而使自己无需到外面走步便可以捕捉或孵化更多的口袋妖怪。

为此,一些玩家使用了很多创新方法,比如将移动设备粘贴在玩具火车、吊扇、狗或玩具无人机之上,从而使该应用程序认为用户正在移动。其他玩家则利用破解版安卓设备或越狱版iPhone上现成的应用程序,以对GPS定位进行欺骗。这种作弊方法使《口袋妖怪 GO》认为用户在不同的位置,而这个位置可能拥有稀有的口袋妖怪。

《Ingress》是《口袋妖怪 GO》制作商Niantic公司在三年前开发的一款扩增实境游戏。这款游戏的玩家们也使用了类似的作弊手段。Niantic公司似乎预料到这种情况也将发生在《口袋妖怪 GO》之上,因此其声称将对使用GPS欺诈程序的用户将给予几小时的禁玩惩罚。虽然我们目前没有发现网络攻击者将其恶意软件伪装成GPS欺诈程序,但随着该游戏用户的增加,这种情况很可能会发生。

用户在《口袋妖怪 GO》作弊还有很多其它方法。该应用程序目前不使用证书锁定(certificate pinning)。这意味着该游戏只能检查服务器证书是否受信任,而不能检查该证书是否为预期的最初证书。这使用户能够在这手机上安装自制的可信证书,并使用简单的中间人(MITM)代理服务拦截通信。虽然这种方法不能用于对远程设备发起攻击,但可用于识别《口袋妖怪 GO》后端API的漏洞,导致用户可能自动操作或修改获取更多物品的需求。

权限和隐私
人们意识到Niantic需要很多权限后(包括完全访问谷歌账户),该公司便成为了某些安全问题的焦点。Niantic声称其仅访问账户基本信息,但其发布的更新版应用程序需要的权限较少

即使在这次更新后,《口袋妖怪 GO》仍声称大量数据,如地址信息和移动模式,正如游戏隐私政策所描述的一样。口袋妖怪GO手环(Pokemon Go Plus)是连接手机的低功耗蓝牙可穿戴辅助设备。在使用该设备时,游戏说收集的数据可能会增加。我们曾在过去讨论过跟踪式可穿戴设备的风险。在这次调查中,我们发现一些低功耗蓝牙设备可以受到跟踪或泄露数据。因为口袋妖怪GO手环还没有发售,因此我们不能确定该设备是否会面临相同问题。

在现实社会中保持安全
《口袋妖怪 GO》的一个绝佳之处是鼓励人们走出家门,到外面呼吸新鲜空气和做运动。然而,据报道声称,有些玩家因没有留意所走位置而受到伤害;而且,有的罪犯将玩家吸引到有口袋妖怪的位置,之后进行抢劫。这款应用程序建议用户们在玩游戏的同时留意周围的环境。然而,用户在玩游戏时应避免前往偏僻或昏暗的地方。

口袋妖怪公司声明:“我们建议所有《口袋妖怪 GO》的玩家留意周围的环境,并在去往新环境或陌生环境时与朋友们一起玩耍。请谨记安全问题,并时刻保持警惕。”

缓解措施

对于手机安全问题来说,用户应遵守以下建议,从而确保减少这些攻击的风险:

  • 避免在非官方网站购买《口袋妖怪 GO》,否则攻击者可使用网站传播伪装成合法应用程序的恶意软件
  • 及时安装《口袋妖怪 GO》更新程序,从而取消游戏对谷歌账户完全访问的请求
  • 远离游戏作弊工具,因为这些工具可能为欺诈性软件或可能含有恶意软件
  • 及时更新智能手机的固件,从而防止网络攻击者利用手机漏洞
  • 《口袋妖怪 GO》的账户应使用强大且独特的密码
  • 密切注意应用程序所要求的权限
  • 安装像诺顿这样的适当手机安全应用程序,以保护您的设备和数据

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.