Cybercrime13.07.2016

​Pokémon Go: Gaan ja! Maar niet blind


“Pst, de nieuwste rage meteen hebben? Hiero.” Meedoen is het motto, nu-nu-nu is de norm. En malwaremakers spelen daar slim op in. Wie verbaast het dat gekopieerde Pokémon Go-apps vol backdoors blijken te zitten? Jammer alleen dat ook de echte app niet helemaal op orde (b)lijkt.

“Heb je het gezien? Heb je de vlogs bekeken? Het is echt zó gaaf! Je móet ze gewoon allemaal hebben!” Alleen is het hier helaas nog niet uit. We moeten wachten, vet jammer. “Oh, maar daar weet ik wel wat op. Hier, ik heb een adresje voor je.” In de analoge wereld zouden we hier argwaan koesteren. Als iets te goed is om waar te zijn, dan is het dat bijna altijd ook zo.

Opnieuw leren

We weten toch inmiddels wel dat een compleet Microsoft Office-pakket voor een paar tientjes niet in de haak is. Ook weten we heus wel dat Adobe Photoshop zomaar ergens gedownload niet te vertrouwen is. Zelfs gratis software, zoals bijvoorbeeld Apple’s ontwikkelpakket Xcode, kun je maar beter netjes bij de bron halen. Anders loop je gevaar van malware, wat een vlekwerking voor anderen kan hebben.

Al deze wijze lessen zijn in het verleden op pijnlijke wijze geleerd, maar blijken in het heden overboord te zijn gegaan. In de mobiele wereld lijkt het securitywiel opnieuw te worden uitgevonden, mede door gretige gebruikers die nú mee willen doen met de nieuwste rage. Zoals dus de plots immens populaire augmented reality game Pokémon Go.

Vraag en (malafide) aanbod

De lancering van die gratis Nintendo-game, gemaakt door een spin-off van Google, was al gefaseerd gepland. Mogelijk was dit om de marketinginspanning te spreiden, of om de hype wat meer aan te wakkeren. Een geleidelijke uitrol van deze game is zeker ook nuttig om serverbelasting op te vangen, wat nu al een lastige opgave bleek te zijn. De servers voor Pokémon Go bleken niet bestand tegen de stormloop van gebruikers.

Er is dus een flinke vraag. En waar er vraag is, duikt er al snel ook malafide aanbod op. Tegenwoordig gebeurt dat steeds sneller: time-to-market is essentieel, ook voor app na-apers, malwaremakers en cybercriminelen. Het is eigenlijk niet verbazingwekkend dat de eerste klonen van deze AR-game al binnen luttele uren opdoken en ook flink populair blijken te zijn.

Kopietje mét

Net zomin wekt het verbazing dat er ook gekopieerde originelen zijn opgedoken voorzien van ingebakken malware, voor het eerst ontdekt door Proofpoint. Het gebruik van populaire online-games als middel om malware geïnstalleerd te krijgen, is een welbekende methode. Het is niet de vraag óf een hype-game gecompromitteerd wordt, maar wanneer. In dit geval binnen 72 uur na de release van de originele game in Australië en Nieuw-Zeeland.

Eindgebruikers in andere landen halen zo’n kopie van een adresje, al dan niet een zogeheten alternatieve app store, en installeren die. Daarbij lift de kwaadaardige software mee op de permissies die aan de gewenste app worden toegekend. Zoals toegang tot sensors en data op je smartphone, maar wie weet ook wel tot waardevolle online-accounts waar je mobiele apparaat mee verbonden is. Wij detecteren en blokkeren deze dreiging, net zoals andere serieuze securityleveranciers dat inmiddels doen.

Privacyprobleem

Extra ironisch is dat het gevaar van Pokémon Go helaas niet beperkt lijkt tot de klonen, de illegale kopieën en de mogelijk meeliftende malware. De originele app laat op security- en privacyvlak nogal wat steken vallen. Het blijkt dat Pokémon Go op iOS zichzelf toegang geeft tot het complete Google-account van gebruikers.

Dit gebeurt wanneer nietsvermoedende gamers de optie benutten om zich bij de AR-game aan te melden met hun Google-inloggegevens. Afgezien van het wachtwoord en telefoonnummer zou daarmee alle Google-data van die gebruikers toegankelijk zijn voor de officiële app. De privacyvoorwaarden van developer Niantic staan de firma toe de vergaarde data te delen met derde partijen.

Zelf stappen zetten

De developers zijn door de ontstane ophef luid en duidelijk op hun fout gewezen. Ze verklaren dat dit zeker niet de bedoeling was en dat er geen gegevens zijn vergaard. Vervolgens zijn ze snel met een app-update gekomen, waarbij summier wordt gemeld ‘Fixed Google account scope’. Daarnaast treft Google maatregelen om de vergaande en onnodige permissies voor deze app in te trekken.

Toch is het raadzaam voor gebruikers om zelf ook actie te ondernemen. Deleten van de app is niet de oplossing, want dat trekt niet de bemachtigde inkijk in alle Google-gebruikersdata in. Daarvoor moet je naar deze instellingspagina gaan en daar de ‘Pokemon Go Release’ verwijderen. De game zou dan nog gewoon moeten werken. Zodra de gefixte app officieel uit is in Nederland, valt die eventueel te installeren met de gepaste permissies.

Wees voor een volgende hype wat minder gretig en meer waakzaam. De echte slechteriken zijn stukken sluwer dan Team Rocket in Pokémon, maar zijn zeker ook te verslaan. Ga dus gerust ‘ze allemaal vangen’, zoals de game-slogan aanspoort. Maar doe dat wel met beleid. Securitybeleid, bedoel ik dan dus.

PS De dreiging is niet alleen digitaal.

Analoge criminaliteit en veiligheid komen ook in beeld bij deze AR-game. Zo blijken gamers door criminelen naar stille locaties te worden gelokt om daar ouderwets te worden beroofd. Daarnaast blijken mensen zo op te gaan in de augmented reality dat ze de fysieke realiteit niet goed in de gaten houden, wat voor verkeersproblemen kan zorgen. Veilig Verkeer Nederland waarschuwt dat onverantwoord Pokémon jagen levens kan kosten.

Deze blogpost is geschreven door Martijn van Lom, Kaspersky Lab.

...

Verder lezen over Kaspersky Lab

Eenvoudige tips voor meer privacy tijdens het reizen met openbaar vervoer

Cybercrime16.09.2024

Eenvoudige tips voor meer privacy tijdens het reizen met openbaar vervoer

zorgen om privacy tijdens woon-werkverkeer
World Password Day: omdat we nog steeds niet nadenken over wachtwoordgebruik

Wachtwoorden vormen de basis van ons digitale leven, maar ze dienen ook als toegangspoort voor cybercriminelen om in te breken in gevoelige persoonlijke informatie.

Cybercrime02.05.2024

World Password Day: omdat we nog steeds niet nadenken over wachtwoordgebruik

Meer dan 1 op de 10 mensen deelt digitale, intieme content

Hoewel veel mensen wel weten dat er risico's aan vastkleven, blijken 1 op de tien mensen wel gevoelige, intieme digitale beelden te delen.

Cybercrime23.04.2024

Meer dan 1 op de 10 mensen deelt digitale, intieme content

Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

In heel Nederland, maar ook in de rest van Europa, zorgen de toenemende kosten van levensonderhoud en de inflatie voor sombere economische vooruitzichten voor het komende jaar. Met als logisch gevolg dat we wat meer gaan...

Cybercrime05.02.2024

Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

Flinke toename in cyberaanvallen gericht op gamers

Cyberaanvallen zijn dagelijkse kost geworden. Voor de criminelen die erachter zitten is het gewoon een lucratieve business. En zolang bedrijven blijven betalen, zoals recent de KNVB nog, blijft dt onverminderd doorgaan....

Cybercrime09.11.2023

Flinke toename in cyberaanvallen gericht op gamers

Ook hackers volgen alle trends: Cryptocurrency phishing groeit met 40%

De anti-phishing systemen van Kaspersky hebben in 2022 5 miljoen cryptocurrency-gerelateerde phishing-aanvallen voorkomen. Dit is een stijging van 40 procent ten opzichte van het jaar ervoor. Omgekeerd was er een afname...

Cybercrime12.04.2023

Ook hackers volgen alle trends: Cryptocurrency phishing groeit met 40%

Digitaal geweld via stalkerware toont weinig tekenen van afname

In 2022 waren bijna 30.000 mobiele gebruikers wereldwijd het doelwit van stalkerware (geheime observatiesoftware die door huiselijk geweldplegers wordt gebruikt om slachtoffers te volgen), zo blijkt het meest recente Sta...

Cybercrime10.03.2023

Digitaal geweld via stalkerware toont weinig tekenen van afname

Ook cybercriminelen haken in op The Last of Us

De langverwachte serie “The Last of Us”, gebaseerd op de gelijknamige PlayStation-game, wordt nu uitgezonden in Nederland en is naar verluidt een van de meest succesvolle shows van HBO van het afgelopen decennium. Zo...

Cybercrime27.01.2023

Ook cybercriminelen haken in op The Last of Us

The Last of ... scams

Verder lezen over Malware

Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!

Het allerbelangrijkste gereedschap van cybercriminelen draait al gewoon op jouw desktop, laptop of notebook. Ik heb het natuurlijk over de browser software die jij gebruikt, zoals Microsoft Edge, Google Chrome, Mozilla Firefox, etc. In de meeste gevallen zijn het namelijk browsers die cybercriminelen toegang verschaffen tot persoonlijke data of bankrekeningen.

Cybercrime11.10.2024

Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!

Gebruik daarom liever apps op tablets of smartphones voor de allergevoeligste gegevens
Google Play bevat al jarenlang malware genaamd Mandrake

Wist je dat er al jaren malware in de Play Store van Google staat? Het is zelfs 'bekende' malware, genaamd Mandrake.

Cybercrime31.07.2024

Google Play bevat al jarenlang malware genaamd Mandrake

Temu wordt nu zelfs bestempeld als gevaarlijke malware

Een nieuwe rechtszaak tegen Temu stelt dat het Chinese platform er aantoonbaar ver in gaat: het zou je tekstberichten op je telefoon meelezen.

Cybercrime01.07.2024

Temu wordt nu zelfs bestempeld als gevaarlijke malware

5 tips om online veilig te zijn

Heb jij wel eens een bericht ontvangen, met een eis om nu te betalen of je foto’s zullen online worden gezet? Of je krijgt een telefoontje en je hoort een tape van een of andere officiële instelling zoals Interpol, met de mededeling dat jouw identiteit is betrokken bij een fraudezaak en met de te nemen stappen.

Online20.05.2024

5 tips om online veilig te zijn

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

Cybercrime15.05.2024

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

En dat in slechts 4 jaar tijd
Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Fortinet heeft een nieuwe editie van het Global Threat Landscape Report uitgebracht. In deze nieuwe editie van dit halfjaarlijkse rapport zien we de trends uit de periode van juli tot en met december 2023.

Cybercrime08.05.2024

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Zo blijkt uit nieuw Global Threat Landscape Report van Fortinet
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

In heel Nederland, maar ook in de rest van Europa, zorgen de toenemende kosten van levensonderhoud en de inflatie voor sombere economische vooruitzichten voor het komende jaar. Met als logisch gevolg dat we wat meer gaan...

Cybercrime05.02.2024

Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro

Volgens de Fraudehelpdesk hebben in 2023 maar liefst 494 mensen aangifte gedaan van datingfraude, waarvan 264 mensen ook flink schade hebben geleden. De totale schade als gevolg van datingfraude in 2023 bedraagt €7.644...

Online29.01.2024

Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro

75% meer dan in 2022

Verder lezen over Pokémon Go

Je Pokémon Go-data wordt nu gebruikt om AI te trainen

Niantic was zo’n vijf jaar geleden enorm bekend door zijn game Pokémon Go. Het spelletje waarin je fysiek naar locaties moet gaan. Nu gebruikt Niantic die locatie-foto's.

Mobile20.11.2024

Je Pokémon Go-data wordt nu gebruikt om AI te trainen

Zo speel je Pokémon TCG Pocket in Nederland op je telefoon

Het mag in Nederland niet in de Play Store door lootboxes, maar dit is hoe je Pokémon TCG Pocket toch op je telefoon zet en gewoon speelt. 

Gaming18.11.2024

Zo speel je Pokémon TCG Pocket in Nederland op je telefoon

De veiligheidsinstructie in het vliegtuig kan een stuk beter

Als de veiligheidsinstructies in alle vliegtuigen zo waren als die van de Japanse vliegmaatschappij ANA, dan zouden veel meer mensen opletten.

Gaming16.08.2024

De veiligheidsinstructie in het vliegtuig kan een stuk beter

Wat gaan Pokémon en het Van Gogh Museum samen doen?

Aggron en de Aardappeleters, Zubat en de Zonnebloemen of Sandshrew en de Sterrennacht: we hebben geen idee wat er staat te gebeuren, maar het wereldwijde X-account van Pokémon prikkelt met een post over iets met Pokémo...

Gaming13.09.2023

Wat gaan Pokémon en het Van Gogh Museum samen doen?

Waarom je Pokémon Sleep moet downloaden voor je naar bed gaat

Pokémon Go ken je waarschijnlijk, maar nu is er ook Pokémon Sleep. We zouden het wel het tegenovergestelde van Go kunnen noemen. Je wordt juist geïnspireerd om niet naar buiten te gaan, vooral niet actief te zijn, en...

Gaming19.07.2023

Waarom je Pokémon Sleep moet downloaden voor je naar bed gaat

Niantic laat je Tamagotchi-tijden herleven met Peridot

Niantic heeft sinds Pokémon Go diverse gooien gedaan naar succes, met onder andere een Harry Potter-game. Nu komt het met Peridot, een spel waarin je voor een heel knuffelig diertje moet zorgen, met een pluige vacht en...

Gaming24.05.2023

Niantic laat je Tamagotchi-tijden herleven met Peridot

Niantic vindt maar geen opvolger voor het succes van Pokémon Go

Enkele jaren geleden kon je bijna geen vijf meter over straat lopen zonder iemand tegen te komen die, zwaaiend met zijn smartphone, Pokémon monsters aan het vangen was. Pokémon Go groeide binnen enkele maanden uit tot...

Gaming30.06.2022

Niantic vindt maar geen opvolger voor het succes van Pokémon Go

Projecten stopgezet, personeel ontslagen
Drie jaar de cel in voor een zeldzame Pokémon kaart

Dit is er eentje in de categorie ‘Only in America’. Een 31-jarige man is door een rechtbank in de staat Georgia veroordeeld tot drie jaar cel omdat hij de overheidssteun die hij ontvangen had om zijn personeel en bed...

Nieuws08.03.2022

Drie jaar de cel in voor een zeldzame Pokémon kaart