Los usuarios y atacantes aprovechan la emoción del videojuego, ya sea para engañar al juego o robar información.
Symantec informó que sus expertos revisaron los aspectos de seguridad que rodean a Pokemon Go y las trampas que los usuarios han desarrollado, así, advierten sobre cómo proteger el dispositivo móvil. Esto bajo el escenario que ha generado que los cibercriminales aprovechen la euforia del videojuego y han creado estafas en redes sociales y versiones “troyanizadas” de la app. Mientras que otros usuarios han desarrollado formas de engañar al Pokemon Go, como localizaciones falsas de GPS.
Symantec destacó que se ha detectado que los jugadores realizan trampa en el juego, ya sea atrapando o incubando más Pokemon sin moverse de su ubicación. De manera que algunos han utilizado métodos para hacerlo, como pegar su dispositivo móvil en trenes de juguete, ventiladores de techo, perros o drones, para hacer creer a la app que el usuario se está moviendo. Asimismo, otros jugadores han falseado su ubicación GPS con apps disponibles que pueden instalarse en dispositivos sin jailbreak.
El especialista en seguridad informó que la aplicación no utiliza “certificate pinning”, lo que significa que el juego sólo comprueba si el certificado del servidor es confiable, pero no si es el original, lo que permitiría a un usuario instalar en su smartphone un certificado de confianza de creación propia e interceptar la comunicación con un simple proxy de man-in-the-middle (MITM). Este método no puede usarse para lanzar ataques en contra de dispositivos remotos, pero si puede utilizarse para identificar las vulnerabilidades en el API de back-end de Pokemon Go y conducir al usuario a automatizar o modificar solicitudes para obtener más elementos.
El creador del juego, Niantic, fue cuestionado sobre la cantidad de permisos que solicita para descargar el videojuego, incluido el pleno acceso a sus cuentas de Google. La compañía respondió que sólo ingresa a la información básica de la cuenta y liberó una actualización de la app que pide menos permisos.
No obstante, los datos recopilados podrían aumentar más cuando se utilice Pokemon Go Plus, el dispositivo periférico Bluetooth LE que puede conectar varios dispositivos móviles, porque algunos dispositivos Bluetooth LE pueden ser rastreados o pueden permitir fugas de datos.
Para mantener la seguridad y reducir el riesgo de los ataques, Symantec sugiere lo siguiente:
- Evitar la descarga de Pokemon Go desde sitios no oficiales, porque los atacantes pueden utilizar estos sitios para liberar malware disfrazado de aplicaciones legítimas.
- Instalar la actualización de Pokemon Go que eliminó la solicitud de acceso total a las cuentas de Google.
- No ingresar a herramientas tramposas de juego, ya que pueden ser fraudulentas o pueden contener malware.
- Mantener actualizado el firmware del smartphone para prevenir vulnerabilidades que puedan ser aprovechadas.
- Utilizar contraseñas fuertes y únicas para la cuenta de Pokemon Go
- Poner atención en los permisos que las aplicaciones solicitan
- Instalar una aplicación de seguridad móvil, que proteja tanto el dispositivo como la información.