Pokemon Go玩家或成为下一个网络攻击对象
2016-07-18 厂商供稿 编辑:佚名
Pokemon Go (口袋妖怪 Go)在全球引发了一场抓捕小精灵的热潮,尽管只在部分地区发布,但这款游戏却在不到一周的时间内获得了超过百万次的安装量。Pokemon Go的火爆现象同时也吸引了网络罪犯的注意。更多信息,请看下文:
赛门铁克安全团队已经发现了针对Pokemon Go的社交媒体骗局和木马版本。不仅如此,由于官方版本要求用户开放相关权限,隐私和数据安全问题也受到了公众的关注。
免费 PokeCoin 骗局
在Pokemon Go中,玩家可以在应用内购买被称为 PokeCoin 的虚拟货币。一些玩家希望绕过应用内的购买机制,尝试在网络上搜索打折或免费的PokeCoin。如果玩家搜索“Pokemon Go免费币生成器”,就会找到典型的调查骗局的链接。有些骗局要求用户在社交媒体上手动分享信息来获取免费的 PokeCoin。无论用户分享多少次,他们都不会收到任何免费的 PokeCoin。赛门铁克安全团队已经在社交媒体网站上发现了数百条这类包含各种网址的消息。
发现Pokemon Go 木马版本应用
在Pokemon Go发布首周,该应用只在美国、澳大利亚和新西兰上市。由于没有正式登陆大多数地区和国家,这促使Android设备或越狱版iPhone用户寻找非官方渠道来下载该游戏。赛门铁克已经发现,恶意软件开发者将远程访问木马 (Android.Sandorat) 伪装成Pokemon Go 应用,发布在多个下载网站和游戏论坛。
Pokemon Go 作弊工具
Pokemon Go玩家被发现尝试在游戏中作弊,希望不在户外走动就能够抓住或孵出更多口袋妖怪。玩家在root的Android设备或越狱版iPhone上安装可以假冒GPS位置的应用,让Pokemon Go误以为用户在移动,从而获得稀有口袋妖怪。尽管我们还没有发现攻击者将恶意软件伪装成GPS位置假冒程序,但随着Pokemon Go用户群的增长,这种情况将会发生。
访问权限和隐私风险
不久前,安全人员意识到游戏制造商Niantic要求用户给予各种权限,包括完全访问用户的Google账户。Niantic公司表示,游戏只会访问用户的基本账户信息,并随后发布了仅要求少数权限的应用更新版本。即使在更新后,Pokemon Go仍然会生成大量的数据,例如位置信息和用户移动模式等,如游戏隐私策略中提出。不仅如此,当用户使用Pokemon Go Plus配套蓝牙LE可穿戴设备时,被收集的用户数据可能会进一步增加。
现实生活中的安全风险
Pokemon Go的最大亮点之一在于鼓励玩家探索户外环境,然而我们也看到一些关于该游戏引发危险事件的报道,例如有些玩家因为没有注意路面而受伤等。此外,由于Pokemon Go游戏场景中包括Pokéstops,能够吸引众多用户前往该地点,这也给犯罪分子带来了可乘之机。犯罪分子能够使用引诱功能(Lures)将目标受害者引诱到特定位置,从而实施犯罪。我们建议玩家在享受游戏的同时注意周围环境,避免独自前往偏僻或光线昏暗的地区。
赛门铁克安全小贴士:
为了更轻松更安全地享受游戏带来的乐趣,赛门铁克建议用户采取以下建议:
· 不要从非官方市场下载Pokemon Go — 网络攻击者通常使用这些站点将恶意软件伪装成合法应用;
· 安装更新版Pokemon Go —更新后的Pokemon Go不会请求完全访问 Google 账户;
· 远离游戏作弊工具 — 这类工具很有可能具有欺诈性或包含恶意软件;
· 及时更新智能手机的固件,防止漏洞被利用;
· 为Pokemon Go账户设置安全性强的唯一密码;
· 密切注意应用所请求的权限;
· 安装一款合适的移动安全应用,比如诺顿,保护设备和数据安全。