Wat een spelletje al niet kan bewerkstelligen. Pokémon jagers denderen in de Haagse duinen als een kudde bizons over het strand (pas op badgasten!) of belagen het rustige Vlaamse dorpje Lillo. Sinds de komst van Pikachu en zijn maten ervaart dit dorp een enorme drukte. Het toenemend aantal jagers berooft de bewoners van Lillo en andere gemeenten van hun rust, met als gevolg dat burgemeesters zich ermee bemoeien het bedrijf Niantic vragen hun dorp of stad uit het spel te halen. Of juist toe te voegen om toeristen te trekken, zoals in Thailand. Als een spelletje zoveel schermverslaafden op de been brengt, worden ontwikkelaars van malware ook actief. Hoe veilig is het om deze app te installeren? Kun je zorgeloos op Pokémons gaan jagen, of niet? Ons FortiGuard team heeft het spel grondig geanalyseerd en kwam tot de volgende conclusies.
Er zijn twee soorten Pokémon-applicaties in omloop:
- De officiële versies die door Niantic zijn uitgebracht. Kort gezegd zijn dit geen kwaadaardige applicaties.
- De gehackte versies. Deze worden ook wel aangeduid met de term ‘mods’ en worden om diverse redenen door andere softwareontwikkelaars uitgebracht. Dit is de categorie waar je malware kan tegenkomen. Zo is er een herverpakte versie van de app in omloop die met DroidJack RAT is geïnfecteerd (zie risico 1 hieronder).
Maar niet alle gehackte versies hebben per definitie een kwaadaardig karakter. Zo hebben we hacks geïnspecteerd die het mogelijk maken om het spel te spelen op Android 4.0 (de minimale vereiste is meestal Android 4.4) en hacks die het mogelijk maken om GPS-coördinaten te wijzigen. Geen van deze aangepaste versies vertoonde tekenen van kwaadaardige activiteit. We voerden overigens niet alleen een handmatige inspectie uit, maar dienden de code van de apps ook in bij onze zelflerende en voorspellende Android-engine, SherlockDroid / Alligator. Deze bevestigden onze analyse.
Risico 1: Een geïnfecteerde versie installeren
DroidJack RAT is een bekende malwarevariant waarvoor Fortinet al sinds 2015 een signature aanbiedt. Klanten van Fortinet zijn dus van meet af aan tegen deze kwaadaardige Pokémon-app beschermd. Deze malware heeft zich op tamelijk grote schaal verspreid. Volgens de interne statistieken van Fortinet is er sprake van meer dan 8.800 detecties per jaar. Alleen al in de afgelopen jaar werd de malwarevariant maar liefst 160 keer gedetecteerd. Deze cijfers zijn echter om diverse reden laag ingeschat. Een van deze redenen is dat de rapportage niet standaard is geactiveerd. Het belangrijkste is in ieder geval om te onthouden dat deze malware nog steeds actief in omloop is.
Kunnen we nog meer malware verwachten? Absoluut. Ontwikkelaars van malware zullen het spel waarschijnlijk in nieuwe versies met kwaadaardige code verspreiden. Het feit dat Pokémon Go niet in alle landen op dezelfde datum werd uitgebracht (zodat ongeduldige gebruikers gedwongen waren om het internet af te struinen naar alternatieven) en het feit dat er grote community’s zijn van game-hackers (leuk) en cheaters (minder leuk ;)) vergroten de kans op het downloaden van een geïnfecteerde versie van het spel.
Risico 2: Volledige toegang tot je Google-account (Dit is inmiddels opgelost)
In het verleden vroeg Pokémon Go volledige toegang tot je Google-account. En we hebben het dan niet over een Android-machtiging, maar om een machtiging van een app die met een Google-account is verbonden. Deze fout is inmiddels door Niantic hersteld. Zorg er dus voor om de machtiging uit je account te verwijderen en je Pokémon Go-applicatie te upgraden.
Ten slotte is het belangrijk om op te merken dat de documentatie van het spel niet bijster duidelijk maakt wat “volledige toegang” precies inhoudt. Tot dusver is er echter nog geen melding gemaakt van misbruik hiervan door cybercriminelen.
Risico 3: Ongewenst netwerkverkeer
In een ideale wereld zouden games alleen netwerkpakketten verzenden die strikt noodzakelijk zijn voor de werking van het spel, zoals je locatiegegevens, informatie over de Pokémons om je heen enzovoort. De werkelijkheid ziet er echter heel anders uit. De meeste Android-applicaties worden al jarenlang gecombineerd met kits van externe partijen (analytics, crash-rapportage, platform-engines enzovoort). Deze verbruiken bandbreedte door het verzenden en ontvangen van min of meer nuttige neveninformatie. In het beste geval gaat het om het model van je smartphone, en in het slechtste geval om persoonlijke informatie zoals je telefoonnummer en andere privégegevens.
Pokémon Go behoort tot de categorie van bandbreedteverslindende applicaties. Voor mobiele gebruikers is het verbruik van bandbreedte een serieus probleem. Gemiddeld 24% van het applicatieverkeer houdt verband met tracking- en advertentiediensten van externe partijen. Voor sommige apps bedraagt dit percentage maar liefst 98%.
Hoewel het te verwachten valt dat Niantic Labs en Unity 3D (de game-engine) toegang zoeken tot onze geografische locatie (zodat we Pokémons en pokéstops kunnen vinden), is het niet helemaal duidelijk waarom geïntegreerde apps als Crittercism, Google Ads, Jackson XML of Upsight onze locatiegegevens zouden moeten opvragen. Tijdens het spelen van Pokémon Go worden je geografische locatie samen met andere informatie (zoals de naam van je mobiele provider, het merk van je telefoon enzovoort) naar diverse externe servers verzonden. De prijs die je voor dit nevenverkeer betaalt, zit hem in het bandbreedteverbruik. Helaas geldt dit voor vrijwel elke game die je tegenwoordig in app stores aantreft…
Risico 4 Nagebootste Pokémon-kaarten of -activiteiten
De app Pokémon Go gebruikt het HTTPS-protocol voor de communicatie met de servers van Niantic. En beter nog: in versie 0.31.0 introduceerde Niantic een techniek genaamd certificate pinning. Dit zorgt ervoor dat zijn apps alleen informatie uitwisselen met de echte Pokémon-servers en niet met andere servers. Als certificate pinning echter niet actief is, zouden cybercriminelen een MITM-aanval kunnen uitvoeren om de app naar willekeur te wijzigen. Zo slaagde rastapasta erin om Pokéstops aan te passen.
Door rastapsta gehackte pokéstops
Cybercriminelen vinden waarschijnlijk snel nieuwe manieren om het spel te wijzigen, bijvoorbeeld door het weergeven van een geïnfecteerde link in een Pokéstop of het rechtstreeks injecteren van geïnfecteerd verkeer. Dit soort aanvallen zijn voor hen waarschijnlijk een haalbare kaart, maar wel lastig om uit te voeren. De aanvallen zullen bovendien alleen van invloed zijn binnen het netwerk waarop de proxy van Pokémon Go MITM is ingesteld.
Conclusie
De app Pokémon Go heeft geen kwaadaardig karakter. De app kan niet langer volledige toegang krijgen tot je e-mail, dit was een beveiligingsrisico in de oudere versie. Maar misbruik hiervan is echter nog nooit aangetoond.
Er zijn momenteel versies van Pokémon Go in omloop die malware bevatten. Als je een Pokémon Go-app niet downloadt van een veilige app store, raad ik je aan om de SHA256-hash van de app af te zetten tegen die van de officiële versie, of om de app te scannen met een antivirusoplossing.
Pokémon Go en de apps van externe partijen die voor het spel worden gebruikt geven je privégegevens prijs en zorgen voor ongewenst netwerkverkeer. Net als de meeste apps overigens!
Niantic heeft duidelijk veel aandacht geschonken aan het beveiligen van de toegang tot zijn game-servers. Lokaal blijft echter de kans bestaan op MITM proxy-aanvallen door vaardige hackers.
Vincent Zeebregts – Fortinet
