FineArt News

資安新知

Pokémon Go的「安全」相關議題

這個題目的選定左思右想花了不少時間,因為Pokémon Go創造許多驚奇的現象。筆者想與大家分享一些資訊,關於Pokémon Go的「安全」議題與相關風險。

環境背景

筆者共準備五個「在地」獨立帳號作為Pokémon Go使用。目前只剩下兩個帳號「合理」正常使用。設定在(1) 獨立門號;(2) 一組紐西蘭與一組美國的Gmail帳號;(2) 無照片;(3) 無資料或是隱私資訊;(4) 不使用信用卡付款,改採電信公司付款(唯一有風險之處);(5) 不在半夜擾人清夢;(6) 關閉AR;(7) 擁有地利之便的新竹南寮,利用每晚散步運動與假日城市(台北信義區)之旅,完成我的Pokémon Go遊戲寶貝蒐集。

 

其他三個帳號就用來「不合理」測試使用,已經被遊戲公司shutdown 帳戶。(1) 環境在Android 平台上;(2) 使用過世界知名三大外掛;(3) 也使用fake GPS擾亂App;(4) 使用Android PC模擬器;(4) 閱讀Pokémon Go 逆向工程文件;(5) 側錄App相關封包;(6) WiFi當媒介,部分使用電信數據訊號…等驗證。

要去撰寫Pokémon Go安全議題,就必須去真的去玩去使用才會明白箇中問題。筆者目前合理使用的其中一組最高帳號28級,有超強戰力打武道館,全部都是篩選後高IV值物種,扣除未公開與地區限定,目前只剩下Venusaur(待升級)、Charizard (待升級)、Muk(待升級)、Omastar(待升級)、以及Ditto、Hitmonlee與Hitmonchan下落不明等7隻特別物種,大概圖鑑就完成了。

先談談In-Q-Telk這一家公司

在國外有許多專文(http://www.businessinsider.com/cia-vc-firm-conflict-of-interest-2016-8)都在討論In-Q-Tel這一家創投公司,「具聞」這是一家CIA創投基金In-Q-Tel公司(https://www.iqt.org/about-iqt/)。筆者認為不需要「妖魔化」其動機,小心使用自然降低風險

poekmon1

部分媒體指涉Niantic創辦人John Hanke 從In-Q-Tel取得資金挹注及衛星技術。這讓筆者想起另一篇文章中所提的電影「傑森包恩」的劇情,著實讓人有些害怕。電影劇情總能反映某些現實,這樣的安全議題卻不容易判讀與解析,只能說使用Pokémon Go的玩家要自己小心。其實遊戲本身許多概念來自Niantic另一個遊戲Ingress的遊戲精神。

手機定位精準度與AR問題

軍用定位與傳統商用民間定位位址精準度仍有所差異,但是網路某些工具軟體是可以推算的,是不是在使用Pokémon Go過程中將敏感定位資訊送給了遊戲創建者,是可以被討論的一個資訊安全議題。因為延續Ingress的遊戲概念,卻是在台灣呈現很特別的的環境,就是「電信箱」、「電力變電箱」,以及知名建物與地點。

但是深入把這樣的定位資料,如果應用在國安議題上,表示敏感建物的電信基礎裝置以及奠立基礎裝置,因為Ingress或是Pokémon Go,被以大數據方式蒐集處理利用。這是可以被擴大討論的另一個資安議題。假設軍方秘密建物的電信箱或是電力基礎裝置被標註了,是否也提供給不當政治軍事意圖者,有了更好的定位資訊的提供級確認。

另一方面當員工或是家人在將AR開啟,這可不是耗電問題而已,是否將辦公室以及家庭的景物資訊及位置,以AR方式給標定出來,這可不是危言聳聽。因為有機會透過AR功能,將組織企業內部空間配置與人員座位狀態。換言之,代替了Google街景車,完成了辦公室內部資訊與位置示意圖,還是建議關閉AR。

分析Pokémon Go App

使用Pokémon Go,就必須討論App的隱私問題。這類隱私侵犯風險問題,其實不僅僅是出現在Pokémon Go這一款遊戲上,許多App都有這樣的問題,甚至Facebook或是Google +都有這樣的隱憂。國外更有許多專文(http://www.trustedreviews.com/news/is-pokemon-go-a-massive-security-risk)提出類似的警告。

就讓我們來看看Pokémon Go取用我們手機那些資訊:(1)位置資訊,也就是GPS定位資料;(2) 讀取儲存裝置,簡單的說就是整隻手機資料都可讀取;(3) 相機,你所拍過的照片以及影片;(4) 聯絡人資訊,相關電話簿的聯絡人都在Pokémon Go範圍;(5) 開啟相關的通知功能;還有其他層面的問題,包含因為使用Google帳號申請,是否有機會讀取到Gmail或是Google Driver、Google Play帳單服務內容…。這也是筆者選用空的手機與規劃過的SIM卡改由電信公司付費不使用Google Play,並且搭配使用獨立外地Google帳號的原因。

pokemon2pokemon3

從國外專文apk 逆向工程資料,看安全議題

其實Niantic經過幾次改版,已經做了不少安全強度的改造,這對於玩家來說確實是正面的價值。例如使用MITM攻擊(也就是中間人攻擊,全名為man-in-the-middle attack,縮寫:MITM)時,Niantic一旦偵測到異常,會立刻中止相關傳送服務。在前幾次更新有發現到沒有對certificate pinning;0.31.0版本可能會改善。當然還有許多有趣的面向,因涉及到法律議題,建議各位自己爬文(https://applidium.com/en/news/unbundling_pokemon_go/ )或驗證。

pokemon4

結語

其實使用Pokémon Go有許多有趣以及反常的現象,相信許多人在新聞媒體或是視頻都可以看到。玩樂之餘,要更注意實體人身「安全」,請務必遵守交通規則以及勿涉入險境,不然那才是樂極生悲。有許多禁地(軍事用地)不建議前往,上班時間不要玩,前天周六帶著幾位朋友前往南寮,卻發現為了抓取稀有寶貝,往堤防外沙灘衝著實危險(明寫著不可跨越),這可能是玩Pokemon Go更需注意的「安全」議題。