Pokemon Go è appena arrivato in Italia e si prevede già che anche nel nostro Paese avrà un successo simile a quello riscosso in tutto il mondo: nonostante al momento sia stato lanciato solo in alcuni paesi al mondo, il gioco è già stato installato milioni di volte in meno di una settimana e, già l’8 luglio, negli Stati Uniti era stata installata su più dispositivi Android (quasi il doppio) di un’app estremamente popolare come Tinder, con gli stessi utenti attivi di Twitter.
Anche i cybercriminali, però, si sono accorti di questo successo e hanno iniziato a creare truffe sui social network e versioni dell’app contenenti trojan per attaccare i giocatori di Pokemon Go. Altri hanno invece sviluppato sistemi per barare su Pokemon Go, barando per esempio sulla posizione GPS. L’app ufficiale è stata inoltre al centro di alcune perplessità legate alla privacy degli utenti per via delle autorizzazioni che richiede. Alla luce di questi avvenimenti, Norton ha quindi analizzato le principali minacce collegate a Pokemon Go e creato alcuni suggerimenti per proteggere gli utenti e i loro dispositivi.
Truffe legate a PokeCoin gratuiti
Pokemon Go prevede acquisti in-app, con i quali gli utenti possono spendere denaro reale per acquistare una valuta virtuale chiamata “PokeCoins”. I giocatori possono spendere i loro PokeCoins per acquistare oggetti da utilizzare nel gioco per catturare Pokemon più rari. Alcuni utenti potrebbero provare a bypassare questo sistema cercando online PokeCoins scontati oppure gratuiti – sfortunatamente, però. i truffatori sono già preparati per questo scenario.
Cercando online “Pokemon Go free coins generator”, è possibile trovare numerosi link che portano alla classica “truffa con sondaggio”. Si tratta di link molto diffusi su internet, è possibile trovarli tanto su forum degli appassionati di videogiochi quanto su siti dedicati alle truffe. La maggior parte delle truffe di questo tipo è raggiungibile da post sui social media oppure da video con la presunta prova del funzionamento di un hacking tool per i PokeCoins.
Quando l’utente arriva sul sito fraudolento, gli viene chiesto il nome utente Pokemon Go e la quantità di coin che desidera. Fino a questo momento Symantec non ha ancora rilevato truffatori che chiedessero la password dell’account Pokemon Go. Alcune truffe sono più elaborate e promettono funzionalità aggiuntive, come una speciale garanzia anti-ban. In ogni caso, il sito avvia semplicemente un video prima di chiedere di verificare la propria identità. Questo processo di verifica richiede all’utente di compilare un sondaggio, installare applicazioni o registrarsi a servizi in abbonamento. Se l’utente seguisse fino alla fine le istruzioni dei truffatori non riceverebbe però PokeCoins gratuiti.
Chi bara su Pokemon Go
Parallelamente alle attività malevole e fraudolente, sono stati anche scoperti alcuni utenti che hanno trovato il modo per “imbrogliare” il gioco e catturare più Pokemon senza nemmeno lasciare la propria abitazione per andare in giro alla ricerca dei Pokemon più rari.
Alcuni hanno utilizzato modalità veramente creative, come ad esempio legare un dispositivo mobile a trenini giocattolo, ventilatori, cani o droni per far credere alla app che l’utente sia in movimento. Altri hanno invece trovato un modo per ingannare il ricevitore GPS, utilizzando app già disponibili che possono essere installati su dispositivi Android rootati o su iPhone con il jailbreak, e utilizzare Pokemon Go come se fossero connessi da un altro luogo, che magari ospitava Pokemon più rari.
Trucchi di questo tipo erano già stati utilizzati da quanti in passato hanno giocato a Ingress, che Niantic aveva sviluppato tre anni fa, prima di dedicarsi a Pokemon Go. Niantic sembra avesse già previsto una situazione di questo tipo anche per Pokemon Go, dal momento che sembra siano già stati bannati per alcune ore utenti che utilizzassero spoofer GPS per questo scopo. Symantec non ha ancora rilevato attacchi tramite spoofer GPS fasulli, ma non esclude che possa succedere con la crescita della community di giocatori di Pokemon Go.
Esistono altri modi per barare su Pokemon Go. Fino a questo momento, la app non utilizza sistemi di pinning per i certificati, e questo significa che il gioco verifica la certificazione via server ma non se questo certificato sia effettivamente quello originale. Ciò potrebbe consentire agli utenti di installare certificati “fai-da-te” sui loro dispositivi e intercettare le comunicazioni con un semplice proxy man-in-the-middle (MITM). Questo metodo non potrebbe essere utilizzato per lanciare attacchi verso dispositivi in remoto, ma potrebbe consentire di identificare vulnerabilità nelle API in backend di Pokemon Go, dando potenzialmente all’utente la possibilità di automatizzare o modificare le richieste per avere più oggetti.
Permessi e privacy
Niantic è stata al centro dell’attenzione anche per alcune perplessità legate alla privacy, nate dopo che alcuni utenti hanno notato come la app richieda la concessione di molte autorizzazioni, tra cui l’accesso completo ai loro account Google. L’azienda ha dichiarato di avere accesso unicamente alle informazioni base dell’utente e ha poi reso disponibile un aggiornamento della app che chiedesse meno autorizzazioni.
Anche dopo questo aggiornamento, però. Pokemon Go continua a richiedere molti dati come i profili legati alla posizione e i modelli di movimento degli utenti, come descritto nella privacy policy del gioco. I data raccolti potrebbero crescere ulteriormente con l’utilizzo di Pokemon Go Plus, il dispositivo Bluetooth LE indossabile pensato dall’azienda per collegarsi allo smartphone. Symantec ha già parlato in passato dei dispositivi indossabili con funzionalità di tracking, in questa occasione ha scoperto che alcuni device Bluetooth LE possono essere tracciati o possono consentire l’accesso ad alcuni dati da parte di malintenzionati. Poiché Pokemon Go Plus non è ancora disponibile, comunque, non è ancora possibile affermare se questo dispositivo sarà affetto o meno dalle stesse problematiche.