結(jié)合了AR和LBS（基于地理位置服務(wù)）技術(shù)的Pokemon Go自上線以來(lái)，不僅刷爆了朋友圈，也持續(xù)霸占著各大應(yīng)用商店免費(fèi)應(yīng)用下載排行榜的前排寶座。有相關(guān)數(shù)據(jù)顯示，

這款游戲目前在美國(guó)的下載量已超過(guò)750萬(wàn)次，每天平均活躍用戶的數(shù)量直逼Twitter，用戶平均每天玩43分鐘，超過(guò)了Instagram。

雖然目前Pokemon Go只在美國(guó)、新西蘭、澳大利亞等27國(guó)家正式上線。中國(guó)地區(qū)仍然處于IP+GPS雙鎖定的狀態(tài)，但仍有不少玩家跨區(qū)下載。當(dāng)大家開著定位，滿世界瘋狂尋找小精靈的時(shí)候，你的個(gè)人信息也可能成為了別人的抓取目標(biāo)。有位玩家就在Tumblr上發(fā)文吐槽了開發(fā)商對(duì)用戶個(gè)人隱私保護(hù)的“疏忽”。

風(fēng)險(xiǎn)1：關(guān)聯(lián)賬戶

為了玩這個(gè)游戲，你需要一個(gè)個(gè)人賬戶。但不能直接在游戲界面創(chuàng)建，需要使用谷歌賬號(hào)或者Pokemon官網(wǎng)注冊(cè)賬號(hào)。由于Pokemon官網(wǎng)出現(xiàn)故障，暫時(shí)不能注冊(cè)新用戶，故只能通過(guò)谷歌賬戶來(lái)登陸。那么問(wèn)題來(lái)了。

啟動(dòng)游戲，點(diǎn)擊關(guān)聯(lián)谷歌賬戶定向登錄時(shí)，通常用戶會(huì)收到一條安全提示：此賬號(hào)將與XX應(yīng)用相關(guān)聯(lián)，該應(yīng)用將獲取此賬號(hào)的部分個(gè)人資料。但這名玩家發(fā)現(xiàn)，他并沒(méi)有收到此類提示，即便如此，還是繼續(xù)登錄了。隨后他去自己的Google賬戶查看了下被授予的權(quán)限，發(fā)現(xiàn)：Pokemon Go已對(duì)谷歌賬戶有“完全訪問(wèn)權(quán)限”。

圖為Pokemon Go登陸界面

在谷歌官方幫助頁(yè)面中，對(duì)“完全訪問(wèn)權(quán)限”的解釋是：

當(dāng)你授權(quán)給一個(gè)應(yīng)用程序的完全訪問(wèn)權(quán)限時(shí)，此關(guān)聯(lián)應(yīng)用程序可以訪問(wèn)到你谷歌賬戶的所有信息。

 也就是說(shuō)，當(dāng)你授權(quán)Pokemon Go以后，游戲開發(fā)商可以

讀取你所有的郵件信息

以你的身份發(fā)送郵件

訪問(wèn)你的谷歌云盤，并可以刪除里面的文件

查看你的搜素記錄以及導(dǎo)航記錄

訪問(wèn)你存儲(chǔ)于谷歌相冊(cè)里的所有個(gè)人照片

以及其他各種個(gè)人信息

而使用Gmail郵件作為用戶授權(quán)認(rèn)證機(jī)制（比如修改密碼），游戲開發(fā)商也有很大可能獲得你其他網(wǎng)站賬戶的訪問(wèn)權(quán)限。這名玩家在文中表示，雖然，Niantic公司計(jì)劃進(jìn)行全球個(gè)人信息竊取的可能性不大，這個(gè)漏洞可能僅僅是一時(shí)疏忽造成的。但具體的細(xì)節(jié)我們不得而知，并立刻撤銷了Google 賬戶授權(quán)，刪除了Pokemon Go游戲應(yīng)用。

隨后，Pokemon Go官方對(duì)該問(wèn)題發(fā)表了聲明稱，他們已注意到這個(gè)問(wèn)題，并表示Niantic公司僅僅只會(huì)獲取用戶最基本的谷歌賬戶信息，同時(shí)針對(duì)該問(wèn)題首次對(duì)Pokémon Go發(fā)布了更新版本（version 1.0.1）。谷歌官方也證實(shí)了Niantic公司并未獲取除了用戶的ID和郵箱地址外的其他信息。

不管是否真如Niantic公司和谷歌所言，PokémonGo確實(shí)擁有用戶谷歌賬戶的完全訪問(wèn)權(quán)限，對(duì)沒(méi)有及時(shí)更新應(yīng)用的用戶來(lái)說(shuō)無(wú)疑是一個(gè)巨大的安全威脅。

雖然開發(fā)人員設(shè)置這種用谷歌賬號(hào)的登陸方式時(shí)，通常也會(huì)對(duì)自己所需要的操作權(quán)限有一個(gè)限定，但最好的辦法是，讓用戶自己決定訪問(wèn)權(quán)限。

風(fēng)險(xiǎn)2： 仿版

據(jù)安全公司Proofpoint報(bào)告，在7月7日，即游戲正式發(fā)布的第三天，他們就發(fā)現(xiàn)有非官方渠道發(fā)布的Pokemon GO游戲安裝包（.apk文件）中包含DroidJack惡意代碼。

DroidJack是一個(gè)遠(yuǎn)程控制惡意工具，它可以攻擊安卓設(shè)備，為攻擊者種下后門，讓其通過(guò)遠(yuǎn)程控制的方式進(jìn)行木馬攻擊。

對(duì)于還無(wú)法在官方應(yīng)用商店下載到游戲的用戶，通過(guò)第三方APP市場(chǎng)下載來(lái)源不可信的應(yīng)用成為了很多人的選擇，而這也為攻擊者發(fā)動(dòng)攻擊提供可能。

雖然這個(gè)惡意的APK并沒(méi)有大規(guī)模的傳播，但是它的上傳時(shí)間距離官方在新西蘭和澳大利亞正式上線Pokémon Go僅僅只有72小時(shí)。 也從一定程度上說(shuō)明了網(wǎng)絡(luò)攻擊者可以利用Pokémon Go來(lái)誘導(dǎo)全世界范圍內(nèi)的用戶安裝他們的惡意軟件，從而實(shí)施大范圍的網(wǎng)絡(luò)犯罪。

惡意Pokémon Go應(yīng)用的登陸界面，與合法的Pokémon Go應(yīng)用的登陸界面完全相同，用戶幾乎不可能從界面上發(fā)現(xiàn)他們安裝的是惡意應(yīng)用。

圖為仿版Pokemon GO詳情頁(yè)面

雷鋒網(wǎng)建議大家千萬(wàn)不要隨意安裝來(lái)路不明的APK，如果已經(jīng)安裝，那么可以按照下面的方法檢查，你的Pokemon GO是否有問(wèn)題。

進(jìn)入應(yīng)用程序的權(quán)限管理界面，查看已經(jīng)安裝的Pokemon GO具備哪些權(quán)限。如果包含發(fā)起電話呼叫、閱讀短信、錄制音頻、修改地址簿中的聯(lián)系人、讀取網(wǎng)頁(yè)歷史或者更改Wi-Fi連接等不必要的權(quán)限，那么很可能你的Pokemon GO就是假的，因?yàn)殚_發(fā)商原版的游戲里并不要求以上這些高級(jí)權(quán)限。

目前，Pokemon GO安卓版情況較多，但是對(duì)于已越獄的蘋果用戶來(lái)說(shuō)同樣需要小心，因?yàn)槟抉R和病毒也同樣可以植入ipa文件里。

風(fēng)險(xiǎn)3：黑客攻擊

熱門游戲通常會(huì)成為黑客的首選攻擊目標(biāo)。

一周前，黑客組織PoodleCorp對(duì)PoKemon Go的服務(wù)器進(jìn)行DDos攻擊，并導(dǎo)致服務(wù)器宕機(jī)，玩家暫時(shí)無(wú)法登陸游戲。PoodleCorp的老大XO還發(fā)推特表示，接下來(lái)他們將要展開更大規(guī)模的網(wǎng)絡(luò)攻擊。

已有外媒聯(lián)系PoKemon Go開發(fā)商N(yùn)iantic的開發(fā)者，詢問(wèn)其所采取的對(duì)策，并隨時(shí)更新期進(jìn)展。不過(guò)，這很難知道宣稱對(duì)網(wǎng)絡(luò)攻擊負(fù)責(zé)的PoodleCorp規(guī)模有多大。也不清楚，他們是否還有其他目的。

雷鋒網(wǎng)建議喜歡PoKemon Go的用戶，一定要謹(jǐn)慎授權(quán)（敲黑板，一定要謹(jǐn)慎），防止個(gè)人信息泄露。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。