​Pokémon Go: Gaan ja! Maar niet blind

“Pst, de nieuwste rage meteen hebben? Hiero.” Meedoen is het motto, nu-nu-nu is de norm. En malwaremakers spelen daar slim op in. Wie verbaast het dat gekopieerde Pokémon Go-apps vol backdoors blijken te zitten? Jammer alleen dat ook de echte app niet helemaal op orde (b)lijkt.

“Heb je het gezien? Heb je de vlogs bekeken? Het is echt zó gaaf! Je móet ze gewoon allemaal hebben!” Alleen is het hier helaas nog niet uit. We moeten wachten, vet jammer. “Oh, maar daar weet ik wel wat op. Hier, ik heb een adresje voor je.” In de analoge wereld zouden we hier argwaan koesteren. Als iets te goed is om waar te zijn, dan is het dat bijna altijd ook zo.

Opnieuw leren

We weten toch inmiddels wel dat een compleet Microsoft Office-pakket voor een paar tientjes niet in de haak is. Ook weten we heus wel dat Adobe Photoshop zomaar ergens gedownload niet te vertrouwen is. Zelfs gratis software, zoals bijvoorbeeld Apple’s ontwikkelpakket Xcode, kun je maar beter netjes bij de bron halen. Anders loop je gevaar van malware, wat een vlekwerking voor anderen kan hebben.

Al deze wijze lessen zijn in het verleden op pijnlijke wijze geleerd, maar blijken in het heden overboord te zijn gegaan. In de mobiele wereld lijkt het securitywiel opnieuw te worden uitgevonden, mede door gretige gebruikers die nú mee willen doen met de nieuwste rage. Zoals dus de plots immens populaire augmented reality game Pokémon Go.

Vraag en (malafide) aanbod

De lancering van die gratis Nintendo-game, gemaakt door een spin-off van Google, was al gefaseerd gepland. Mogelijk was dit om de marketinginspanning te spreiden, of om de hype wat meer aan te wakkeren. Een geleidelijke uitrol van deze game is zeker ook nuttig om serverbelasting op te vangen, wat nu al een lastige opgave bleek te zijn. De servers voor Pokémon Go bleken niet bestand tegen de stormloop van gebruikers.

Er is dus een flinke vraag. En waar er vraag is, duikt er al snel ook malafide aanbod op. Tegenwoordig gebeurt dat steeds sneller: time-to-market is essentieel, ook voor app na-apers, malwaremakers en cybercriminelen. Het is eigenlijk niet verbazingwekkend dat de eerste klonen van deze AR-game al binnen luttele uren opdoken en ook flink populair blijken te zijn.

Kopietje mét

Net zomin wekt het verbazing dat er ook gekopieerde originelen zijn opgedoken voorzien van ingebakken malware, voor het eerst ontdekt door Proofpoint. Het gebruik van populaire online-games als middel om malware geïnstalleerd te krijgen, is een welbekende methode. Het is niet de vraag óf een hype-game gecompromitteerd wordt, maar wanneer. In dit geval binnen 72 uur na de release van de originele game in Australië en Nieuw-Zeeland.

Eindgebruikers in andere landen halen zo’n kopie van een adresje, al dan niet een zogeheten alternatieve app store, en installeren die. Daarbij lift de kwaadaardige software mee op de permissies die aan de gewenste app worden toegekend. Zoals toegang tot sensors en data op je smartphone, maar wie weet ook wel tot waardevolle online-accounts waar je mobiele apparaat mee verbonden is. Wij detecteren en blokkeren deze dreiging, net zoals andere serieuze securityleveranciers dat inmiddels doen.

Privacyprobleem

Extra ironisch is dat het gevaar van Pokémon Go helaas niet beperkt lijkt tot de klonen, de illegale kopieën en de mogelijk meeliftende malware. De originele app laat op security- en privacyvlak nogal wat steken vallen. Het blijkt dat Pokémon Go op iOS zichzelf toegang geeft tot het complete Google-account van gebruikers.

Dit gebeurt wanneer nietsvermoedende gamers de optie benutten om zich bij de AR-game aan te melden met hun Google-inloggegevens. Afgezien van het wachtwoord en telefoonnummer zou daarmee alle Google-data van die gebruikers toegankelijk zijn voor de officiële app. De privacyvoorwaarden van developer Niantic staan de firma toe de vergaarde data te delen met derde partijen.

Zelf stappen zetten

De developers zijn door de ontstane ophef luid en duidelijk op hun fout gewezen. Ze verklaren dat dit zeker niet de bedoeling was en dat er geen gegevens zijn vergaard. Vervolgens zijn ze snel met een app-update gekomen, waarbij summier wordt gemeld ‘Fixed Google account scope’. Daarnaast treft Google maatregelen om de vergaande en onnodige permissies voor deze app in te trekken.

Toch is het raadzaam voor gebruikers om zelf ook actie te ondernemen. Deleten van de app is niet de oplossing, want dat trekt niet de bemachtigde inkijk in alle Google-gebruikersdata in. Daarvoor moet je naar deze instellingspagina gaan en daar de ‘Pokemon Go Release’ verwijderen. De game zou dan nog gewoon moeten werken. Zodra de gefixte app officieel uit is in Nederland, valt die eventueel te installeren met de gepaste permissies.

Wees voor een volgende hype wat minder gretig en meer waakzaam. De echte slechteriken zijn stukken sluwer dan Team Rocket in Pokémon, maar zijn zeker ook te verslaan. Ga dus gerust ‘ze allemaal vangen’, zoals de game-slogan aanspoort. Maar doe dat wel met beleid. Securitybeleid, bedoel ik dan dus.

PS De dreiging is niet alleen digitaal.

Analoge criminaliteit en veiligheid komen ook in beeld bij deze AR-game. Zo blijken gamers door criminelen naar stille locaties te worden gelokt om daar ouderwets te worden beroofd. Daarnaast blijken mensen zo op te gaan in de augmented reality dat ze de fysieke realiteit niet goed in de gaten houden, wat voor verkeersproblemen kan zorgen. Veilig Verkeer Nederland waarschuwt dat onverantwoord Pokémon jagen levens kan kosten.

Deze blogpost is geschreven door Martijn van Lom, Kaspersky Lab.