Pokemon Go, divertimento e rischi

MalwareSicurezza
0 15 Non ci sono commenti

Chi inizia a giocare a Pokemon Go sembra perdere la testa, e dietro all’ultimo successo di Niantic oltre al divertimento ci sono anche rischi. Occhi aperti per proteggersi

E’ vera e propria febbre, altissima, quella che riguarda i giocatori su smartphone che si stanno brillando il cervello con la divertente app di Niantic, Pokemon Go, scaricata milioni di volte in meno di una settimana, e ora con lo stesso numero di utenti attivi di Tinder, ma pronta a superare anche Twitter.

La notizia di centinaia di persone in delirio a New York in Central Park alla ricerca del Pokemon raro, potrebbe bastare ad evidenziare quanti rischi possono innescarsi quando in pratica si perde simpaticamente la ragione. Sì, perché in parole semplici Pokemon Go è un gioco basato sulla realtà aumentata, per cui davanti allo schermo del vostro smartphone, compare la vostra realtà, arricchita da simpatici animaletti che potete catturare.

I giocatori possono catturare e cercare in questa realtà oltre 100 diverse specie di Pokémon, innestati nel mondo reale. Lo smartphone vibra quando ci sono Pokemon nelle vicinanze, l’utente prende la mira con il suo touchscreen, lancia la Poké Ball e se è bravo lo cattura, sì perché intanto il Pokémon può essere già scappato. Ci sono persone cascate negli stagni durante questa caccia virtuale, tanto divertente quanto senza senso…

Pokemon Go
Pokemon Go – Per catturare i più rari qualcuno è andato a farsi un bagno senza accorgersi, altri si sono fatti derubare e, come ha raccontato un noto quotidiano, centinaia di persone in preda alla febbre da Pokémon si sono riversate nel parco di Manhattan alla ricerca di Vaporeon

Qualsiasi cosa abbia un successo così esplosivo si candida per attirare l’attenzione dei criminali e così è stato anche per Pokemon Go, sì perché gli inventori hanno veduto bene di sfruttare il modello in-app per guadagnare anche qualcosina, e i cybercriminali stanno diffondendo truffe sui social network proponendo versioni dell’app con trojan, oppure c’è chi bara simulando posizioni Gps taroccate ad hoc, mai realmente frequentate. Niantic stessa ha dovuto rispondere a qualche critica, considerate le autorizzazioni richieste agli utenti, in relazione alla privacy.

Pokemon GO, dicevamo, prevede acquisti in app. Nello specifico si possono comprare con i soldi reali i cosiddetti PokeCoins che poi saranno spesi per acquistare armi/oggetti che consentiranno di catturare i Pokemon più rari e di più alto valore. Da una parte la comunità del cybercrime ha iniziato a proporre generatori di PokeCoins gratuiti: l’utente arriva sul sito fraudolento, comunica il nome utente Pokemon Go e quanti Coin vuole, viene chiesto all’utente di compilare un sondaggio, installare applicazioni e registrarsi, finanche a servizi in abbonamento, senza arrivare ad ottenere nemmeno un PokeCoins, ma con la certezza di avere arricchito chi ha messo in piedi il servizio e ha stretto programmi di affiliazione.

In altri casi viene richiesto di condividere un messaggio su Facebook o Twitter per ricevere sempre i PokeCoins, più grave il caso di applicazioni create ad hoc infette che si presentano come app Pokemon Go – per esempio nei Paesi in cui ancora non è arrivata – ma non lo sono. Gli hacker hanno spacciato un trojan per l’accesso remoto (Android.Sandorat) per la app Pokemon Go. Quando la versione fraudolenta dell’app viene installata, mostra la schermata iniziale di Pokemon Go, facendo credere all’utente che vada tutto bene mentre invece rende il dispositivo completamente accessibile agli hacker che volessero attaccarlo.

Anche i giocatori però imbrogliano per esempio alcuni riescono ad ingannare il ricevitore Gps (spoofer Gps) con l’utilizzo di altre app e comodamente da casa propria catturano Pokemon. E’ possibile con Android ed eventualmente con gli iPhone, ma solo dopo il jailbreak. Ci sono però anche casi di giocatori vittime di furti a causa di criminali che li hanno attirati in luoghi isolati con il miraggio di catturare Pokemon rari per poi rapinarli.

E infine, per i più sofisticati e preparati Norton mette in guardia sul fatto che la app non utilizza sistemi di pinning per i certificati, significa che il gioco verifica la certificazione via server ma non l’effettiva autenticità del certificato. Si potrebbero installare certificati “fai-da-te” sui propri dispositivi e intercettare le comunicazioni con un semplice proxy man-in-the-middle (MITM). Non si arriva a poter lanciare attacchi verso dispositivi in remoto, ma si potrebbero identificare le vulnerabilità nelle API in backend di Pokemon Go, e così automatizzare o modificare le richieste per avere più oggetti.    

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore