赛门铁克:Pokemon Go玩家或为攻击对象

 　　Pokemon Go (口袋妖怪 Go)在全球引发了一场抓捕小精灵的热潮，尽管只在部分地区发布，但这款游戏却在不到一周的时间内获得了超过百万次的安装量。Pokemon Go的火爆现象同时也吸引了网络罪犯的注意。

　　赛门铁克安全团队已经发现了针对该游戏的社交媒体骗局和木马版本。不仅如此，由于官方版本要求用户开放相关权限，隐私和数据安全问题也受到了公众的关注。

　　在奋力抓捕口袋妖怪的同时，赛门铁克安全团队希望提示玩家注意以下网络威胁，保护设备和自身安全。

　　免费 PokeCoin 骗局

　　在Pokemon Go中，玩家可以在应用内购买被称为 PokeCoin 的虚拟货币，并用来购买游戏中的道具，例如引诱口袋妖怪的熏香，或孵化稀有口袋妖怪的蛋。一些玩家希望绕过应用内的购买机制，尝试在网络上搜索打折或免费的PokeCoin。不幸的是，网络诈骗罪犯已经盯上这样的玩家。

　　如果玩家搜索“Pokemon Go免费币生成器”，就会找到典型的调查骗局的链接。诈骗罪犯主要通过在社交媒体网站上发帖，或者发布所谓的能够证明PokeCoin 黑客工具有效的视频来实施诈骗。

　　▲图1.诈骗网站要求用户点击确认身份，才可以访问实际并不存在的PokeCoin黑客工具

　　在进入诈骗网站后，用户会被要求提供他们的Pokemon Go用户名和希望获得的游戏币数量。到目前为止，我们尚未发现要求用户提供Pokemon Go密码的骗局。虽然一些诈骗网站声称具有更多功能，但一般情况下，网站会在播放一段视频后要求用户进行“身份验证”。

　　这个验证流程会要求用户填写调查表、安装应用或注册服务。但现实是，即便用户按照说明进行操作，也得不到免费的 PokeCoin。而诈骗分子会因为用户点击参与的加盟联网计划而获利。根据诈骗短网址的统计显示，每个这样的链接都被上千个用户点击过。

　　▲图2.PokeCoin骗局要求用户进行身份验证

　　有些骗局要求用户在社交媒体上(Twitter或Facebook)手动分享信息来获取免费的 PokeCoin。需要了解的是，无论用户分享多少次，他们都不会收到任何免费的 PokeCoin。赛门铁克安全团队已经在社交媒体网站上发现了数百条这类包含各种网址的消息。

　　赛门铁克在2016年互联网安全威胁报告中指出，在2015 年，类似的手动分享骗局在所有社交媒体诈骗事件中占比 76%。

　　发现Pokemon Go 木马版本应用

　　在Pokemon Go发布首周，该应用只在美国、澳大利亚和新西兰上市。由于没有正式登陆大多数地区和国家，这促使Android设备或越狱版iPhone用户寻找非官方渠道来下载该游戏。

　　网络罪犯也抓住了用户的心理和需求，针对Android设备创建了木马版本。赛门铁克已经发现，恶意软件开发者将远程访问木马 (Android.Sandorat) 伪装成Pokemon Go 应用，发布在多个下载网站和游戏论坛。当安装木马版本后，虽然玩家看到的是Pokemon Go的开始界面，并看起来没有异样，但是攻击者已经获得了用户手机的完全访问权限。

　　Pokemon Go 作弊工具

　　Pokemon Go玩家被发现尝试在游戏中作弊，希望不在户外走动就能够抓住或孵出更多口袋妖怪。一些玩家想出了不少“创意”招数，例如，将手机粘贴在玩具火车、吊扇、宠物犬或无人机上，让应用误以为他们在移动。

　　还有一些玩家在root的Android设备或越狱版iPhone上安装可以假冒GPS位置的应用，让Pokemon Go误以为用户在移动，从而获得稀有口袋妖怪。尽管我们还没有发现攻击者将恶意软件伪装成GPS位置假冒程序，但随着Pokemon Go用户群的增长，这种情况将会发生。

　　访问权限和隐私风险

　　不久前，安全人员意识到游戏制造商Niantic要求用户给予各种权限，包括完全访问用户的Google账户，这让Niantic在安全问题方面成为众矢之的。Niantic公司表示，游戏只会访问用户的基本账户信息，并随后发布了仅要求少数权限的应用更新版本。

　　即使在更新后，Pokemon Go仍然会生成大量的数据，例如位置信息和用户移动模式等，如游戏隐私策略中提出。不仅如此，当用户使用Pokemon Go Plus配套蓝牙LE可穿戴设备时，被收集的用户数据可能会进一步增加。赛门铁克安全团队的研究发现，部分蓝牙LE设备会出现被跟踪或泄露数据的风险。由于Pokemon Go Plus尚未推出，现在我们还无法确定该设备是否会面临相同的风险。

　　现实生活中的安全风险

　　Pokemon Go的最大亮点之一在于鼓励玩家探索户外环境，然而我们也看到一些关于该游戏引发危险事件的报道，例如有些玩家因为没有注意路面而受伤等。此外，由于Pokemon Go游戏场景中包括Pokéstops，能够吸引众多用户前往该地点，这也给犯罪分子带来了可乘之机。犯罪分子能够使用引诱功能(Lures)将目标受害者引诱到特定位置，从而实施犯罪。我们建议玩家在享受游戏的同时注意周围环境，避免独自前往偏僻或光线昏暗的地区。

　　赛门铁克安全小贴士：

　　为了更轻松更安全地享受游戏带来的乐趣，赛门铁克建议用户采取以下建议：

　　· 不要从非官方市场下载Pokemon Go — 网络攻击者通常使用这些站点将恶意软件伪装成合法应用;

　　· 安装更新版Pokemon Go —更新后的Pokemon Go不会请求完全访问 Google 账户;

　　· 远离游戏作弊工具 — 这类工具很有可能具有欺诈性或包含恶意软件;

　　· 及时更新智能手机的固件，防止漏洞被利用;

　　· 为Pokemon Go账户设置安全性强的唯一密码;

　　· 密切注意应用所请求的权限;

　　· 安装一款合适的移动安全应用，比如诺顿，保护设备和数据安全。

　　在复杂多变的网络空间中，我们将会时常面临各种未知的网络威胁，但这不意味着用户应该远离新的科技和新鲜事物。当用户了解所可能面临的风险并拥有一定的防范意识，那么GO，抓捕更多口袋妖怪吧。