記者何英煒/台北報導
手遊精靈寶可夢(Pokemon Go)引領全球AR(擴增實境)遊戲的熱潮,也吸引駭客的注意。賽門鐵克資安團隊已經發現了針對該遊戲所推出的社交媒體詐騙和木馬版本,而官方也要求使用者開放相關許可權,使得隱私及資料安全的問題也受到了公眾的關注。
(翻攝自youtube)
在Pokemon Go遊戲當中,玩家可以在應用程式內購買PokeCoin虛擬貨幣,可以用來購買遊戲中的道具,例如,引誘精靈的薰香,或孵化稀有精靈的蛋。一些玩家希望繞過應用程式內的購買機制,嘗試在網路上搜尋打折或免費的PokeCoin,但不幸的是,網路詐騙罪犯已經盯上這樣的玩家。
如果搜索「Pokemon Go免費幣產生器」,就會找到典型騙局連結。網站會要求使用者提供Pokemon Go的使用者名稱及希望獲得的遊戲幣數量。有些詐騙要求使用者在社交媒體上(如Twitter或Facebook)手動分享資訊來獲得免費的PokeCoin。
賽門鐵克表示,已在社交媒體上發現了數百條這類型態的詐騙。由於Pokemon Go目前只在美國、澳洲及紐西蘭上市,這也促使玩家透過其他非官方管道來下載該遊戲。網路犯罪者也抓住了使用者的心理和需求,針對Android設備建立了木馬版本。
一旦玩家不察而下載,攻擊者已經獲得了使用者手機的完全存取權限。而Pokemon Go遊戲開發商Niantic要求使用者給予各種許可權,包括開放使用者的Google帳戶,這讓Niantic在安全方面成為眾矢之的。Niantic公司表示,遊戲只會訪問使用者的基本帳戶資訊,並隨後發布了僅要求少數許可的更新應用版本。
即使在更新之後,Pokemon Go仍會生成大量的資料,賽門鐵克表示,部份藍牙的LE設備會出現被跟蹤或洩露資料的風險。
