Pokémon Go ¿Un riesgo para la Seguridad Informática?

El portal de noticias de Fortinet liberó un análisis de riesgos relacionada a la popular aplicación Pokémon Go que en días pasados fué liberada para México, mismo que aquí reproducimos traducido al español.

En FortiGuard, no nos podíamos quedar atrás sin un análisis de Pokémon Go, la pregunta es, ¿Su instalación es segura?  ¿Usted puede salir y cazar Pokémon, o quedarse en una Pokeparada esperando por Pokebolas? Este articulo no está relacionado a estrategias referentes al juego, sin embargo les comparto mi primera impresión de seguridad en la instalación del Juego Pokémon Go.

Versiones

Existen dos tipos de aplicaciones de Pokémon:

 Las Versiones Oficiales, emitido por Niantic:

Las versiones hackeadas:

También conocidas como “Mods” las cuales fueron alteradas por otros desarrolladores para múltiples propósitos, en esta categoría es muy común encontrar Malware,  por ejemplo, una versión re-editada que infecta con el Malware DroidJack RAT, siendo el mas común en las versiones no oficiales.

Muestra Sha256

15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4

Sin embargo, no todas las versiones hackeadas son necesariamente maliciosas, algunos de estos hacen posible jugar Pokémon Go en versión de Android 4.0 (siendo que el requisito mínimo es 4.4) o para modificar las coordenadas de GPS, estos comportamiento no son un síntoma de Malware.

Muestra Sha256

baf0dc2e19c6ec9ebfc2853785e92e175064c522a82410c2e56e204fad156838 4d482cf9beef8d4f03a6c609025fc6025069c0c83598032e46380d23a75f1979

Además de la inspección manual, enviamos las muestras de comportamiento al motor de predicción de Android basado en el aprendizaje  SherlockDroid/ Alligator las cuales confirman nuestro análisis.

{{cta(‘00446ed5-e447-464d-a0cb-a0c7621d4c49’)}}

Riesgo 1: Instalar una versión infectada

 Como anteriormente se mencionaba , la muestra con sha256:

15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4

Está infectado con la definición Android/SandrC.tr apodado DroidJack RAT.

Este Malware ha sido muy propagado, estadísticas internas de Fortinet han demostrado más de 8,800 detecciones en un año, y 160 el último mes nada más. Sin embargo estas cifras están muy subestimadas, debido a varias razones, una de ellas es que no está habilitado el reporte del uso del software por defecto, por lo que se tiene que recordar que este malware se encuentra actualmente aún en un estado salvaje y activo.

¿Mas malware por venir?

 Sí,  los autores de malware es muy probable que continúen re-empaquetando el juego con una variedad de malware y distribuirlo. El hecho de que el juego no fué lanzado en todos los países en la misma fecha (lo que obliga a los usuarios impacientes a buscar alternativas en la web) y combinado con el hecho de que existe manera de hacerle modificaciones al juego (eso es bueno) y algunos de estos pueden resultar peligrosos (esto es lo malo) estas comunidades que ofrecen las descargas sólo aumentan la posibilidad de descargar una versión infectada del juego.

 Riesgo 2: Exponer información completa de la cuenta de Google.

Adam Reeve se dió cuenta de que el juego solicita acceso completo a su cuenta de Google.

Nota: no estamos hablando de un permiso, si no que pueda tener acceso a la información de la cuenta de Google.

Esto fué un error y fué corregido por Niantic. Así que asegúrese de retirar el permiso de su cuenta y actualizar su aplicación Pokémon Go.

Por último, tenga en cuenta que no es muy clara la información que indica la profundidad del significado del parámetro «acceso completo», no se han reportado malware o exploits derivados del uso de este acceso.

Riesgo 3: Tráfico de red no deseado

En un mundo perfecto, es de esperar que los juegos  sólo envíen la información necesaria a través de la red para que el juego se ejecute, como su ubicación, los detalles de Pokémon a tu alrededor, etc.

Sin embargo, esto está muy lejos de la realidad, y desde hace años la mayoría de las aplicaciones de Android están empaquetados con los kits de terceros (análisis, informes de fallos, motores de plataforma cruzada, etc.) que utilizan el ancho de banda, estos envían y reciben información más o menos útil, en el mejor de los casos, el modelo exacto de su teléfono inteligente, o en el peor de los casos, la información personal tal como su número de teléfono y otros datos privados.

Pokémon Go es una de estas aplicaciones que usan un gran ancho de banda. Lo descargué hace dos semanas, y es ya cerca de ser la aplicación más codiciosa en mi teléfono:

Para los usuarios móviles, el consumo de ancho de banda es un problema real. En promedio, el 24% del tráfico de una aplicación es para los servicios de seguimiento de terceros y publicidad. Para algunas aplicaciones, el rating aumenta hasta 98%.

Mientras que el porcentaje de tráfico lateral para Pokémon Go no ha sido medido con precisión, dado el número de funcionalidades de terceros que incluye, no me sorprendería si mucho si esta por encima del 50%

Aquí está una lista de lo que contiene la versión 0.31.0:

•  Crittercism – que ahora se llama “Apteligent” – es una «solución de gestión del rendimiento» de aplicaciones móviles.
• Dagger – es un «inyector de dependencias rápido».
• Bibliotecas de soporte Android: los que son comunes a casi todas las aplicaciones de Android.
• Apache Commons I / O.
• Unity 3D: que es el motor del juego Pokémon Go, depende en gran medid de Space Madness Lunar Console: se trata de una: » Unidad nativa de registro en sistemas iOS/ Android «
• Anuncios Google.
• Google GSON.
• Jackson XML: esta es la biblioteca JSON para Java.
• Bridge JNI.
• Upsight: un análisis de la comercialización y la plataforma móvil.
• Google facturación.
• Plaza de Otto: un bus de eventos.
• Voxel Busters: «con plugins nativos multiplataforma».
• rx para la programación reactiva.

{{cta(‘ca35bcab-76ee-41a6-96ee-53f03034a25e’)}}

Junto con este tipo de tráfico de red «no tan esencial» para servidores de terceros también vienen fugas comunes. Mientras esperamos Niantic Labs y Unity 3D (motor de juego) para acceder a nuestra ubicación geográfica (para localizar Pokémon salvajes o pokeparadas), ¿No será que también esperar que aplicaciones como Crittercism, los anuncios de Google, Jackson XML, o Upsight para recuperar nuestra ubicación?

El código desensamblado también muestra que Voxel Busters realiza la construcción de la lista completa de los contactos de nuestro teléfono (consulte la figura siguiente). Ellos tienen acceso a el nombre de presentación, número de teléfono y correo electrónico de todos los contactos. La lista es compilada posteriormente en un objeto JSON y se envía a una función llamada UnitySendMessage, que luego se exporta por una unidad de librería compartida (libunity.so) donde se envía a otra función y donde actualmente pierdo su pista. ¿Son contactos enviados a servidores remotos? Esto no está confirmado aún, pero esto es motivo de cierta preocupación.

 

Así que si lo que necesita saber es que mientras que usted juega Pokémon Go envía su ubicación geográfica, junto con otros detalles (por ejemplo, el nombre del operador de red, marca de teléfono, etc.) a varios servidores remotos está en lo correcto, lo peor es que usted «Paga» por este tráfico a través del consumo de datos de su celular. Por desgracia, esto es cada vez más cierto para casi cualquier juego que se encuentra en las tiendas de aplicaciones de hoy en día.

Riesgo  4 : Apariciones de Pokémon falsos en el mapa o actividades.

La aplicación Pokémon Go comunica con los servidores de Niantic a través de HTTPS (ver imagen abajo). Aún mejor, en la versión 0.31.0, Niantic introdujo certificado fijo para garantizar que las aplicaciones de intercambio de información sea solo con los servidores reales de Pokémon y no con otros no identificados.

Inicio del «Handshake» mediante cifrado TLS con servidores Pokemon Go

Sin embargo,cuando el certificado fijo no está activo, un atacante puede realizar un ataque de MITM (Man In The Middle) cambiando por completo el juego, personalizando Pokeparadas y Pokémon para sus víctimas. Por ejemplo, rastapasta ha podido realizar Pokeparadas personalizadas.

Pokeparada hackeada por rastapasta

Una persona con malas intenciones puede fácilmente imaginar otras personalizaciones como la que se muestra en pantalla, desde un enlace infectado en una Pokeparada, o directamente inyectando tráfico infectado. Dichos ataques son probablemente convenientes, son engañosos y pueden suceder solo cuando éste operando en la red donde se encuentre instalado el Proxy de MITM de Pokémon Go.

 Conclusión:

 La aplicación de Pokémon GO no es Maliciosa.

• No representa una aplicación enemiga que pueda tener acceso total a tu correo electrónico,  lo era en una versión anterior, sin embargo esta versión  jamás fue liberada.
• Actualmente existen versiones de Pokémon Go en estado Salvaje, donde se puede modificar su comportamiento inyectándole Malwares y es muy probable que vengan más por esa vía; en consecuencia si usted no descarga o recibe aplicaciones de un sitio seguro, se recomienda que valide el hash con su sha256 con la versión oficial para saber si cuenta con una versión segura y se recomienda además usar un software de Antivirus para detectar el resto de los programas instalados.
• Como la mayoría de las aplicaciones de hoy día, Pokémon Go (o la tercera parte de las aplicaciones) exponen su privacidad e implica el uso de los datos no deseados de su celular.
• Niantic, evidentemente ha prestado puesto atención en los accesos seguros a sus servidores de Pokémon Go, sin embargo la posibilidad de ser victima de un ataque MITM es posible si es realizada por ataques expertos.

 {{cta(‘3c7fd8cd-ddd5-49c7-988d-03a90ceb363d’)}}

Fuente: The Crypto Girl by Fortinet.