Los cibercriminales se han dado cuenta de la intensa emoción del juego y han creado estafas en redes sociales y versiones “troyanizadas” de la aplicación para aprovecharse de los jugadores de Pokemon Go.
Otros usuarios han desarrollado formas de engañar al Pokemon Go, tales como localizaciones falseadas de GPS.
Expertos de Symantec revisaron los aspectos de seguridad que rodean a Pokemon Go y particularmente a las trampas que los usuarios han desarrollado y advierten sobre cómo proteger el dispositivo móvil.
Trampas en Pokemon Go
Independiente de la actividad maliciosa de ciberdelincuentes, se ha encontrado que los jugadores tratan de hacer trampa en el juego, ya sea atrapando o incubando más Pokemon sin moverse de su ubicación.
Algunos han utilizado métodos creativos para hacerlo, tales como pegar su dispositivo móvil en trenes de juguete, ventiladores de techo, perros o drones, para hacer creer a la aplicación que el usuario se está moviendo. Otros falsean su ubicación GPS gracias a aplicaciones disponibles que pueden instalarse en dispositivos Android o en iPhones sin jailbreak. Estos trucos hacen que Pokemon Go considere que el usuario está en una ubicación diferente, en la que puede obtener Pokemones poco comunes.
Trucos similares utilizaron jugadores de Ingress, un juego de realidad aumentada desarrollado por el creador de Pokemon Go, Niantic, hace tres años. Niantic al parecer esperaba que esto sucediera también con Pokemon Go, ya que según los informes la compañía estaba aplicando prohibiciones de una hora de duración a los jugadores que emplean simuladores GPS. Si bien no hemos visto que los atacantes oculten su malware como suplantación de identidad en GPS, esto puede suceder en tanto la base de usuarios de Pokemon Go crece.
Hay otras maneras con las cuales los usuarios podrían engañar al Pokemon Go. Actualmente, la aplicación no utiliza “certificate pinning”. Esto significa que el juego sólo comprueba si el certificado del servidor es confiable, pero no si es el original que se esperaba. Esto permitiría a un usuario instalar en su teléfono un certificado de confianza de creación propia e interceptar la comunicación con un simple proxy de man-in-the-middle (MITM). Si bien este método no puede utilizarse para lanzar ataques en contra de dispositivos remotos, sí podría ser utilizado para identificar las vulnerabilidades en el API de back-end de Pokemon Go y, potencialmente, conducir al usuario a automatizar o modificar solicitudes para obtener más elementos.
Permisos y privacidad
Niantic se convirtió en el foco de algunos cuestionamientos de seguridad, después de que las personas se dieron cuenta de que había solicitado una gran cantidad de permisos, incluido el pleno acceso a sus cuentas de Google. La compañía señaló que sólo accede a la información básica de la cuenta. Y liberó una actualización de la aplicación que pide menos permisos.
Incluso con esta actualización, Pokemon Go todavía genera una gran cantidad de datos, como los perfiles de ubicación y patrones de movimiento, tal como se describe en la política de privacidad del juego. Los datos recopilados podrían incrementarse aún más cuando se utilice Pokemon Go Plus, el dispositivo periférico Bluetooth LE que puede conectar varios dispositivos móviles.
Una investigación de Symantec encontró que algunos dispositivos Bluetooth LE pueden ser rastreados o pueden permitir fugas de datos. Como Pokemon Go Plus aún no ha salido, todavía no podemos determinar si este dispositivo se enfrentará a los mismos problemas.
Mantenerse a salvo en el mundo real
Una de las mejores cosas de Pokemon Go es que está animando a la gente a salir a la calle, tomar aire fresco y a hacer ejercicio. Sin embargo, ha habido informes de personas que se lastiman por no prestar atención a donde caminan y de criminales que atraen con el Pokemon a los jugadores para robarles. La aplicación aconseja a los usuarios a prestar atención a su entorno cuando juegan. Les recomiendan también que deben evitar jugar en zonas aisladas o poco iluminadas.
Recomendaciones de Symantec
Para su seguridad y reducir el riesgo de estos ataques, los usuarios de dispositivos móviles deben seguir las siguientes recomendaciones:
• Evitar la descarga de Pokemon Go desde sitios no oficiales, ya que los atacantes pueden utilizar estos sitios para liberar malware disfrazado de aplicaciones legítimas.
• Instalar la actualización de Pokemon Go que ha eliminado la solicitud de acceso total a las cuentas de Google.
• Alejarse de herramientas de juego tramposas, ya que pueden ser fraudulentas o pueden contener malware.
• Mantener actualizado el firmware del teléfono inteligente para prevenir vulnerabilidades que puedan ser aprovechadas.
• Utilizar contraseñas fuertes y únicas para la cuenta de Pokemon Go
• Poner mucha atención en los permisos que las aplicaciones solicitan
• Instalar una aplicación de seguridad móvil, tal como Norton, que protege tanto el dispositivo como la información.
0 Comentarios
Deje su comentario