Pokémon Go的「安全」相關議題 - 精品科技

這類隱私侵犯風險問題，其實不僅僅是出現在Pokémon Go這一款遊戲上，許多App都有這樣的問題，甚至Facebook或是Google +都有這樣的隱憂。

[email protected] FineArtNews 資安新知 精品科技行銷部 資安新知 2016/09/08 PokémonGo的「安全」相關議題 這個題目的選定左思右想花了不少時間，因為PokémonGo創造許多驚奇的現象。

筆者想與大家分享一些資訊，關於Pokémon Go的「安全」議題與相關風險。

環境背景 筆者共準備五個「在地」獨立帳號作為PokémonGo使用。

目前只剩下兩個帳號「合理」正常使用。

設定在(1)獨立門號；(2)一組紐西蘭與一組美國的Gmail帳號；(2)無照片；(3)無資料或是隱私資訊；(4)不使用信用卡付款，改採電信公司付款(唯一有風險之處)；(5)不在半夜擾人清夢；(6)關閉AR；(7)擁有地利之便的新竹南寮，利用每晚散步運動與假日城市(台北信義區)之旅，完成我的Pokémon Go遊戲寶貝蒐集。

  其他三個帳號就用來「不合理」測試使用，已經被遊戲公司shutdown帳戶。

(1)環境在Android平台上；(2)使用過世界知名三大外掛；(3)也使用fakeGPS擾亂App；(4)使用AndroidPC模擬器；(4)閱讀PokémonGo逆向工程文件；(5)側錄App相關封包；(6)WiFi當媒介，部分使用電信數據訊號…等驗證。

要去撰寫PokémonGo安全議題，就必須去真的去玩去使用才會明白箇中問題。

筆者目前合理使用的其中一組最高帳號28級，有超強戰力打武道館，全部都是篩選後高IV值物種，扣除未公開與地區限定，目前只剩下Venusaur(待升級)、Charizard(待升級)、Muk(待升級)、Omastar(待升級)、以及Ditto、Hitmonlee與Hitmonchan下落不明等7隻特別物種，大概圖鑑就完成了。

先談談In-Q-Telk這一家公司 在國外有許多專文(http://www.businessinsider.com/cia-vc-firm-conflict-of-interest-2016-8)都在討論In-Q-Tel這一家創投公司，「具聞」這是一家CIA創投基金In-Q-Tel公司(https://www.iqt.org/about-iqt/)。

筆者認為不需要「妖魔化」其動機，小心使用自然降低風險。

部分媒體指涉Niantic創辦人JohnHanke從In-Q-Tel取得資金挹注及衛星技術。

這讓筆者想起另一篇文章中所提的電影「傑森包恩」的劇情，著實讓人有些害怕。

電影劇情總能反映某些現實，這樣的安全議題卻不容易判讀與解析，只能說使用PokémonGo的玩家要自己小心。

其實遊戲本身許多概念來自Niantic另一個遊戲Ingress的遊戲精神。

手機定位精準度與AR問題 軍用定位與傳統商用民間定位位址精準度仍有所差異，但是網路某些工具軟體是可以推算的，是不是在使用PokémonGo過程中將敏感定位資訊送給了遊戲創建者，是可以被討論的一個資訊安全議題。

因為延續Ingress的遊戲概念，卻是在台灣呈現很特別的的環境，就是「電信箱」、「電力變電箱」，以及知名建物與地點。

但是深入把這樣的定位資料，如果應用在國安議題上，表示敏感建物的電信基礎裝置以及奠立基礎裝置，因為Ingress或是PokémonGo，被以大數據方式蒐集處理利用。

這是可以被擴大討論的另一個資安議題。

假設軍方秘密建物的電信箱或是電力基礎裝置被標註了，是否也提供給不當政治軍事意圖者，有了更好的定位資訊的提供級確認。

另一方面當員工或是家人在將AR開啟，這可不是耗電問題而已，是否將辦公室以及家庭的景物資訊及位置，以AR方式給標定出來，這可不是危言聳聽。

因為有機會透過AR功能，將組織企業內部空間配置與人員座位狀態。

換言之，代替了Google街景車，完成了辦公室內部資訊與位置示意圖，還是建議關閉AR。

分析PokémonGoApp 使用PokémonGo，就必須討論App的隱私問題。

這類隱私侵犯風險問題，其實不僅僅是出現在Pokémon Go這一款遊戲上，許多App都有這樣的問題，甚至Facebook或是Google+都有這樣的隱憂。

國外更有許多專文(http://www.trustedreviews.com/news/is-pokemon-go-a-massive-security-risk)提出類似的警告。

就讓我們來看看PokémonGo取用我們手機那些資訊：(1)位置資訊，也就是GPS定位資料；(2)讀取儲存裝置，簡單的說就是整隻手機資料都可讀取；(3)相機，你所拍過的照片以及影片；(4)聯絡人資訊，相關電話簿的聯絡人都在PokémonGo範圍；(5)開啟相關的通知功能；還有其他層面的問題，包含因為使用Google帳號申請，是否有機會讀取到Gmail或是GoogleDriver、GooglePlay帳單服務內容…。

這也是筆者選用空的手機與規劃過的SIM卡改由電信公司付費不使用GooglePlay，並且搭配使用獨立外地Google帳號的原因。

從國外專文apk逆向工程資料，看安全議題 其實Niantic經過幾次改版，已經做了不少安全強度的改造，這對於玩家來說確實是正面的價值。

例如使用MITM攻擊(也就是中間人攻擊，全名為man-in-the-middleattack，縮寫：MITM)時，Niantic一旦偵測到異常，會立刻中止相關傳送服務。

在前幾次更新有發現到沒有對certificatepinning；0.31.0版本可能會改善。

當然還有許多有趣的面向，因涉及到法律議題，建議各位自己爬文(https://applidium.com/en/news/unbundling_pokemon_go/)或驗證。

結語 其實使用PokémonGo有許多有趣以及反常的現象，相信許多人在新聞媒體或是視頻都可以看到。

玩樂之餘，要更注意實體人身「安全」，請務必遵守交通規則以及勿涉入險境，不然那才是樂極生悲。

有許多禁地(軍事用地)不建議前往，上班時間不要玩，前天周六帶著幾位朋友前往南寮，卻發現為了抓取稀有寶貝，往堤防外沙灘衝著實危險(明寫著不可跨越)，這可能是玩PokemonGo更需注意的「安全」議題。

繁體中文 日本語 English