Pokemon GO: Der direkte Weg für Hacker in Ihr Telefon

  • 12. Juli 2016
  • 3 min Lesezeit


blog_main_pokemon

Pokemon GO hat die Welt im Sturm erobert. Regelrechte Horden von Teenagern und Erwachsenen gleichermassen jagen animierte Figuren mit ihrem Mobiltelefon durch die Straßen der Stadt.

Mit Zugang zu Uhrzeit und GPS Ihres Telefons erzeugt die App eine so genannte ‚augmented reality‘ – in der Pokemon Tiere in der ‚echten Welt‘ erscheinen. Als deren ‚Trainer‘ sind Sie angehelten ihr Pokemon zu kreieren, so dass die Tiere sich anschließend bekämpfen können. Um das zu koordinieren nutzt die App Google Maps.

Captured Pokemon

Captured Pokemon

Aber, worauf greift die App noch zu?

Nach der Anmeldung werden Sie gebeten, Ihren Google Login zu bestaetigen. Viele Apps benutzen bevorzugt bestehende Login Daten um eine Neuanmeldung zu umgehen und die Installation somit zu beschleunigen. In diesem Fall versäumt Pokemon GO von Niantic Labs es jedoch eine genaue Limitation zu bezeichnen auf welche Bereiche die App Zugriff hat.

Bei der Durchsicht der Datenschutzrichtlinien ist das Emsisoft Team auf schockierende Zugangsrechte gestossen: Die App hat vollen Zugriff auf alle Google Accounts des Spielers, inklusive der Rechte Emails zu empfangen und zu lesen, Zugangsdaten zu bearbeiten, Dokumente im Google Drive zu löschen. Auch Zugang zu Google Photos und der Browser History sowie lokalen informationen gehört dazu.

Es gibt keine Anhaltspunkte für welche Zwecke Niantic Labs diese Daten nutzen will, aber jeder Spieler sollte sich bewusst sein welches Sicherheitsrisiko dieser Zugang zu allen persönlichen Daten darstellt.

Die offizielle App hat bereits vollen Zugriff auf alle Ihre privaten Informationen, aber was wäre wenn dieser Zugang auch in die Hände von beispielsweise kriminellen Entwicklern von Malware gelangt, oder in die Hände eines Botnetzes? Welche Sicherheitsvorkehrungen stellt Niantic Labs hier bereit um die Mengen an Daten zu sichern, auf die zugegriffen werden kann? Wir sind uns nicht sicher.

Zudem wurde die App in einigen Ländern noch gar nicht veröffentlicht. Spieler folgen dennoch dem Hype und laden die App von Drittanbietern herunter, die mit Malware Developern zusammen arbeiten könnten. Gefährliche Versionen der App geben Hackern durch Hintertürchen uneingeschränkten Zugang – zu Mobiltelefonen weltweit.

Mit Einloggen in die App erlauben Sie vollen Zugang zu allen Daten an eine Firma die sich Unmengen an persönlichen Daten ihrer Spieler sichert – ohne jedoch darzulegen wofür diese genutzt oder wie diese gegebenenfalls geschützt werden sollen.

Infizierte Apps können zudem nur sehr schwer von den vertrauenswürdigen unterschiden werden, insbesondere wenn sie im Hintergrund agieren.

Was kann man also tun um seine Daten zu schützen?

Das Emsisoft Team ist überzeugt, dass das Risiko diese App zu benutzen derzeit nicht kalkulierbar ist.

Es ist jedoch absehbar dass Nianti Labs ihre Datenschutzrichtlinien erneuern wird, mehr hin zu ihrer zweiten App Ingress, bei der man nur ein Basisprofil des Spielers benötigt. Bis dahin raten wir jedoch zu Geduld und dazu, die App vorerst nicht zu benutzen. Wenn dies unumgänglich sein sollte, empfehlen wir:

Einen schönen (malwarefreien) Tag.

Emsi

Emsi

Emsisoft Gründer und Geschäftsführer. 1998, ich war gerade mal 16, schickte mir einer meiner 'Freunde' eine Datei über ICQ, die unerwarteterweise mein CD-ROM Laufwerk öffnete und mir damit einen riesen Schrecken einjagte. Es war der Beginn meiner Reise im Kampf gegen Trojaner und andere Malware. Meine Story

Weitere Artikel