Google吹嘘神奇宝贝Go Invades Google帐户
谷歌母公司的字母表已经吹嘘,它通知了每月4,000个国家赞助的网络攻击的客户,因为神奇宝贝Go获得对Google帐户的访问权限。
谷歌和字母委员会成员高级副总裁黛安绿色在科罗拉多州Aspen的技术会议上提出了安全索赔,报道路透社。
在举办举报人爱德华斯诺登的政府间谍启示之后,谷歌一直是痛苦的科技公司,远离与美国互联网监控的联系。
谷歌 - 类似于微软,雅虎和其他人 - 采取了旨在赢得用户信任的几个步骤,包括每年两次引入关于政府数据请求的加密和发布报告。
但格林突出谷歌安全的努力恰逢发现增强现实游戏应用程序神奇宝贝可以访问用户的Google帐户,对员工在工作中使用个人设备的企业网络和系统构成潜在风险。
Software Architect Adam Reeve发现了由Google Spinoff NiantiC开发的游戏应用程序,假设任何注册的人的Google帐户“完全访问”,以使用他们的Google帐户在Apple设备上播放游戏。
这意味着没有询问权限Pokémongo和niantic可以读取用户的电子邮件,使用电子邮件帐户发送消息,访问和删除Google驱动器文档,查看搜索历史记录,访问Google照片和更多更多,他在博客帖子中写道。
Reeve表示,开发人员指定他们在设置“使用Google”功能时所需的访问程度。
“最佳实践 - 简单的逻辑 - 指示您要求您需要的最低限度,这通常只是简单的联系信息,”他说。
但是Reeve表示,“巨大的安全风险”可能只是“史诗般的粗心”的结果。他在稍后的博客文章中确认,墨迹众多和谷歌正在采取措施来解决问题。
然而,安全研究人员突出了与神奇宝贝相关的其他隐私和安全风险,因为它广泛的权限拍摄照片和视频,访问位置数据,查找和在设备上使用帐户,查看网络连接和访问蓝牙连接。
安全公司校样点的研究人员还警告,在发现在游戏的官方发布后不久将被上传到文件存储库的恶意Android版本,从非官方来源下载游戏。
研究人员表示,游戏的恶意版本包含一个名为DROIJACK的远程访问工具,它可以为攻击者全面控制用户的手机。
官方版本的游戏最初仅在美国,澳大利亚和新西兰发布,领先的国家外面的粉丝寻找替代的第三方下载网站。但是,这些站点通常提供Android应用程序包(APK)文件,可以修改为包含恶意软件。
验证点研究人员表示,他们还没有看到野外的口袋妖怪的马西奥斯版本,但他们看到的样本代表了“重要概念证明”。它还不仅对用户构成了安全风险,而且对员工使用个人设备访问公司网络的企业构成了安全风险。
策划点威胁操作中心凯文爱普斯坦表示,DROIDJACK为攻击者提供了对移动设备的完全访问权限。
“这包括文本消息,GPS数据,电话呼叫,相机和用户访问的任何业务网络资源,”他说。
这使得来自非官方应用商店的实践下载应用程序以及应用程序的存在,如神奇宝贝的恶意版本,特别是埃普斯坦特别有关。
“从第三方来源安装应用程序,而不是正式审查和批准的公司应用商店,永远不会推荐,”他说。
研究人员观察到的神奇宝贝的恶意版演示了网络罪犯如何利用流行的应用程序来欺骗用户在其设备上安装恶意软件。
“应用用户应该非常谨慎地谨慎下载除Apple App Store和Google Play以外的应用程序存储中的应用程序。许多其他应用商店没有安全控制,以防止恶意攻击者发布已被篡改的应用程序,“Epstein说。