Pokemon Go: come fare per proteggersi da truffe, malware e minacce alla privacy

di Tommaso Alisonno

Pokemon Go è appena arrivato in Italia e si prevede già che anche nel nostro Paese avrà un successo simile a quello riscosso in tutto il mondo: il gioco è già stato installato milioni di volte in meno di una settimana e, già l’8 luglio, negli Stati Uniti era stata installata su più dispositivi Android (quasi il doppio) di un'app popolare come Tinder, con gli stessi utenti attivi di Twitter.

Anche i cybercriminali, però, si sono accorti di questo successo e hanno iniziato a creare truffe sui social network e versioni dell’app contenenti trojan per attaccare i giocatori di Pokemon Go. Altri hanno invece sviluppato sistemi per barare su Pokemon Go, barando per esempio sulla posizione GPS. L’app ufficiale è stata inoltre al centro di alcune perplessità legate alla privacy degli utenti per via delle autorizzazioni che richiede. Alla luce di questi avvenimenti, Norton ha quindi analizzato le principali minacce collegate a Pokemon Go e creato alcuni suggerimenti per proteggere gli utenti e i loro dispositivi.

quello che segue è un blog post con alcuni suggerimenti da Norton per diventare un Pokemon master.


**********


MILANO, 18 luglio 2016 – Pokemon Go è appena arrivato in Italia e si prevede già che anche nel nostro Paese avrà un successo simile a quello riscosso in tutto il mondo: nonostante al momento sia stato lanciato solo in alcuni paesi al mondo, il gioco è già stato installato milioni di volte in meno di una settimana e, già l’8 luglio, negli Stati Uniti era stata installata su più dispositivi Android (quasi il doppio) di un'app estremamente popolare come Tinder, con gli stessi utenti attivi di Twitter.

Anche i cybercriminali, però, si sono accorti di questo successo e hanno iniziato a creare truffe sui social network e versioni dell’app contenenti trojan per attaccare i giocatori di Pokemon Go. Altri hanno invece sviluppato sistemi per barare su Pokemon Go, barando per esempio sulla posizione GPS. L’app ufficiale è stata inoltre al centro di alcune perplessità legate alla privacy degli utenti per via delle autorizzazioni che richiede. Alla luce di questi avvenimenti, Norton ha quindi analizzato le principali minacce collegate a Pokemon Go e creato alcuni suggerimenti per proteggere gli utenti e i loro dispositivi.

Truffe legate a PokeCoin gratuiti

Pokemon Go prevede acquisti in-app, con i quali gli utenti possono spendere denaro reale per acquistare una valuta virtuale chiamata “PokeCoins”. I giocatori possono spendere i loro PokeCoins per acquistare oggetti da utilizzare nel gioco per catturare Pokemon più rari. Alcuni utenti potrebbero provare a bypassare questo sistema cercando online PokeCoins scontati oppure gratuiti – sfortunatamente, però. i truffatori sono già preparati per questo scenario.

Cercando online “Pokemon Go free coins generator”, è possibile trovare numerosi link che portano alla classica “truffa con sondaggio”. Si tratta di link molto diffusi su internet, è possibile trovarli tanto su forum degli appassionati di videogiochi quanto su siti dedicati alle truffe. La maggior parte delle truffe di questo tipo è raggiungibile da post sui social media oppure da video con la presunta prova del funzionamento di un hacking tool per i PokeCoins.

Quando l’utente arriva sul sito fraudolento, gli viene chiesto il nome utente Pokemon Go e la quantità di coin che desidera. Fino a questo momento Symantec non ha ancora rilevato truffatori che chiedessero la password dell’account Pokemon Go. Alcune truffe sono più elaborate e promettono funzionalità aggiuntive, come una speciale garanzia anti-ban. In ogni caso, il sito avvia semplicemente un video prima di chiedere di verificare la propria identità. Questo processo di verifica richiede all’utente di compilare un sondaggio, installare applicazioni o registrarsi a servizi in abbonamento. Se l’utente seguisse fino alla fine le istruzioni dei truffatori non riceverebbe però PokeCoins gratuiti…

I truffatori ricevono però denaro reale per la partecipazione di ogni utente a queste iniziative, grazie a programmi di affiliazione. Secondo le statistiche legate ai link abbreviati dei siti di questo tipo, un migliaio di persone ha già cliccato sui link più diffusi.

Altri truffatori chiedono invece che l’utente condivida manualmente un messaggio su Twitter o Facebook prima di ricevere PokeCoins gratuiti, coin che non riceveranno mai – indipendentemente dal numero di post condivisi. Symantec ha scoperto centinaia di messaggi di questo tipo, con URL differenti, postati sui social media. Come rilevato nel Symantec Internet Security Threat Report 2016, truffe di questo tipo hanno rappresentato il 76% delle truffe sui social media nel 2015.

App Pokemon Go infettate da trojan su canali non ufficiali

Pokemon Go non è ancora arrivato ufficialmente in molti paesi: nella settimana di lancio era disponibile solo negli Stati Uniti, in Australia e Nuova Zelanda. Questo lancio in pochi paesi ha però “invogliato” molti appassionati che volessero provare il gioco nel minor tempo possibile a scaricare sui loro dispositivi Android oppure su iPhone con il jailbreak a scaricare l’app da fonti non ufficiali.

Gli hacker hanno approfittato di questo interesse, creando versioni infette da Trojan alla app per dispositivi Android. Come già rilevato, diversi hacker hanno spacciato un trojan per l’accesso remoto (Android.Sandorat) per la app Pokemon Go. Questa minaccia è stata condivisa su diversi siti per il download delle app e forum dedicati al gaming. Quando la versione fraudolenta dell’app viene installata, mostra la schermata iniziale di Pokemon Go, facendo credere all’utente che vada tutto bene quando rende invece il dispositivo completamente accessibile agli hacker che volessero attaccarlo.

Chi bara su Pokemon Go

Parallelamente alle attività malevole e fraudolente, sono stati anche scoperti alcuni utenti che hanno trovato il modo per “imbrogliare” il gioco e catturare più Pokemon senza nemmeno lasciare la propria abitazione per andare in giro alla ricerca dei Pokemon più rari.

Alcuni hanno utilizzato modalità veramente creative, come ad esempio legare un dispositivo mobile a trenini giocattolo, ventilatori, cani o droni per far credere alla app che l’utente sia in movimento. Altri hanno invece trovato un modo per ingannare il ricevitore GPS, utilizzando app già disponibili che possono essere installati su dispositivi Android rootati o su iPhone con il jailbreak, e utilizzare Pokemon Go come se fossero connessi da un altro luogo, che magari ospitava Pokemon più rari.

Trucchi di questo tipo erano già stati utilizzati da quanti in passato hanno giocato a Ingress, che Niantic aveva sviluppato tre anni fa, prima di dedicarsi a Pokemon Go. Niantic sembra avesse già previsto una situazione di questo tipo anche per Pokemon Go, dal momento che sembra siano già stati bannati per alcune ore utenti che utilizzassero spoofer GPS per questo scopo. Symantec non ha ancora rilevato attacchi tramite spoofer GPS fasulli, ma non esclude che possa succedere con la crescita della community di giocatori di Pokemon Go.

Esistono altri modi per barare su Pokemon Go. Fino a questo momento, la app non utilizza sistemi di pinning per i certificati, e questo significa che il gioco verifica la certificazione via server ma non se questo certificato sia effettivamente quello originale. Ciò potrebbe consentire agli utenti di installare certificati “fai-da-te” sui loro dispositivi e intercettare le comunicazioni con un semplice proxy man-in-the-middle (MITM). Questo metodo non potrebbe essere utilizzato per lanciare attacchi verso dispositivi in remoto, ma potrebbe consentire di identificare vulnerabilità nelle API in backend di Pokemon Go, dando potenzialmente all’utente la possibilità di automatizzare o modificare le richieste per avere più oggetti.

Permessi e privacy

Niantic è stata al centro dell’attenzione anche per alcune perplessità legate alla privacy, nate dopo che alcuni utenti hanno notato come la app richieda la concessione di molte autorizzazioni, tra cui l'accesso completo ai loro account Google. L’azienda ha dichiarato di avere accesso unicamente alle informazioni base dell’utente e ha poi reso disponibile un aggiornamento della app che chiedesse meno autorizzazioni.

Anche dopo questo aggiornamento, però. Pokemon Go continua a richiedere molti dati come i profili legati alla posizione e i modelli di movimento degli utenti, come descritto nella privacy policy del gioco. I data raccolti potrebbero crescere ulteriormente con l’utilizzo di Pokemon Go Plus, il dispositivo Bluetooth LE indossabile pensato dall’azienda per collegarsi allo smartphone. Symantec ha già parlato in passato dei dispositivi indossabili con funzionalità di tracking, in questa occasione ha scoperto che alcuni device Bluetooth LE possono essere tracciati o possono consentire l’accesso ad alcuni dati da parte di malintenzionati. Poiché Pokemon Go Plus non è ancora disponibile, comunque, non è ancora possibile affermare se questo dispositivo sarà affetto o meno dalle stesse problematiche.

La sicurezza nel mondo reale

Il successo di Pokemon Go ha anche portato molti utenti a uscire da casa, all’aria aperta, e fare attività fisica. Questo però ha portato anche a casi di giocatori coinvolti in incidenti per non aver prestato attenzione al mondo reale o vittime di furti a causa di criminali che li hanno attirati in luoghi con Pokemon rari solo per rapinarli. La app ricorda all’utente di prestare attenzione a quello che lo circonda quando gioca, gli utenti dovrebbero anche evitare di recarsi in aree isolate o scarsamente illuminate da soli durante le sessioni di gioco.

Come fare quindi per ridurre i rischi?

Per quanto riguarda la sicurezza dei dispositivi mobile, gli utenti dovrebbero seguire alcuni semplici consigli che possono ridurre sensibilmente il rischio di subire attacchi di questo tipo:

  • Evitare di scaricare la app Pokemon Go da fonti non ufficiali, perché i malintenzionati possono utilizzare questi siti per diffondere malware “camuffato” da app ufficiali;
  • Installare l’aggiornamento di Pokemon GO che rimuove la richiesta di accesso completo all’account Google;
  • Stare alla larga dai tool che promettono trucchi per il gioco, perché potrebbero essere fraudolenti o contenere malware;
  • Assicurarsi che lo smartphone sia aggiornato per evitare che siano sfruttate vulnerabilità note;
  • Utilizzare una password sicura e unica per l’account Pokemon Go;
  • Prestare attenzione alle autorizzazioni richieste dalle app;
  • Installare una soluzione per la sicurezza di smartphone e tablet, come quella offerta da Norton, per proteggere il dispositivo e i dati che contiene.