結(jié)合了AR和LBS（基于地理位置服務）技術的Pokemon Go自上線以來，不僅刷爆了朋友圈，也持續(xù)霸占著各大應用商店免費應用下載排行榜的前排寶座。有相關數(shù)據(jù)顯示，

這款游戲目前在美國的下載量已超過750萬次，每天平均活躍用戶的數(shù)量直逼Twitter，用戶平均每天玩43分鐘，超過了Instagram。

雖然目前Pokemon Go只在美國、新西蘭、澳大利亞等27國家正式上線。中國地區(qū)仍然處于IP+GPS雙鎖定的狀態(tài)，但仍有不少玩家跨區(qū)下載。當大家開著定位，滿世界瘋狂尋找小精靈的時候，你的個人信息也可能成為了別人的抓取目標。有位玩家就在Tumblr上發(fā)文吐槽了開發(fā)商對用戶個人隱私保護的“疏忽”。

風險1：關聯(lián)賬戶

為了玩這個游戲，你需要一個個人賬戶。但不能直接在游戲界面創(chuàng)建，需要使用谷歌賬號或者Pokemon官網(wǎng)注冊賬號。由于Pokemon官網(wǎng)出現(xiàn)故障，暫時不能注冊新用戶，故只能通過谷歌賬戶來登陸。那么問題來了。

啟動游戲，點擊關聯(lián)谷歌賬戶定向登錄時，通常用戶會收到一條安全提示：此賬號將與XX應用相關聯(lián)，該應用將獲取此賬號的部分個人資料。但這名玩家發(fā)現(xiàn)，他并沒有收到此類提示，即便如此，還是繼續(xù)登錄了。隨后他去自己的Google賬戶查看了下被授予的權(quán)限，發(fā)現(xiàn)：Pokemon Go已對谷歌賬戶有“完全訪問權(quán)限”。

圖為Pokemon Go登陸界面

在谷歌官方幫助頁面中，對“完全訪問權(quán)限”的解釋是：

當你授權(quán)給一個應用程序的完全訪問權(quán)限時，此關聯(lián)應用程序可以訪問到你谷歌賬戶的所有信息。

 也就是說，當你授權(quán)Pokemon Go以后，游戲開發(fā)商可以

讀取你所有的郵件信息

以你的身份發(fā)送郵件

訪問你的谷歌云盤，并可以刪除里面的文件

查看你的搜素記錄以及導航記錄

訪問你存儲于谷歌相冊里的所有個人照片

以及其他各種個人信息

而使用Gmail郵件作為用戶授權(quán)認證機制（比如修改密碼），游戲開發(fā)商也有很大可能獲得你其他網(wǎng)站賬戶的訪問權(quán)限。這名玩家在文中表示，雖然，Niantic公司計劃進行全球個人信息竊取的可能性不大，這個漏洞可能僅僅是一時疏忽造成的。但具體的細節(jié)我們不得而知，并立刻撤銷了Google 賬戶授權(quán)，刪除了Pokemon Go游戲應用。

隨后，Pokemon Go官方對該問題發(fā)表了聲明稱，他們已注意到這個問題，并表示Niantic公司僅僅只會獲取用戶最基本的谷歌賬戶信息，同時針對該問題首次對Pokémon Go發(fā)布了更新版本（version 1.0.1）。谷歌官方也證實了Niantic公司并未獲取除了用戶的ID和郵箱地址外的其他信息。

不管是否真如Niantic公司和谷歌所言，PokémonGo確實擁有用戶谷歌賬戶的完全訪問權(quán)限，對沒有及時更新應用的用戶來說無疑是一個巨大的安全威脅。

雖然開發(fā)人員設置這種用谷歌賬號的登陸方式時，通常也會對自己所需要的操作權(quán)限有一個限定，但最好的辦法是，讓用戶自己決定訪問權(quán)限。

風險2： 仿版

據(jù)安全公司Proofpoint報告，在7月7日，即游戲正式發(fā)布的第三天，他們就發(fā)現(xiàn)有非官方渠道發(fā)布的Pokemon GO游戲安裝包（.apk文件）中包含DroidJack惡意代碼。

DroidJack是一個遠程控制惡意工具，它可以攻擊安卓設備，為攻擊者種下后門，讓其通過遠程控制的方式進行木馬攻擊。

對于還無法在官方應用商店下載到游戲的用戶，通過第三方APP市場下載來源不可信的應用成為了很多人的選擇，而這也為攻擊者發(fā)動攻擊提供可能。

雖然這個惡意的APK并沒有大規(guī)模的傳播，但是它的上傳時間距離官方在新西蘭和澳大利亞正式上線Pokémon Go僅僅只有72小時。 也從一定程度上說明了網(wǎng)絡攻擊者可以利用Pokémon Go來誘導全世界范圍內(nèi)的用戶安裝他們的惡意軟件，從而實施大范圍的網(wǎng)絡犯罪。

惡意Pokémon Go應用的登陸界面，與合法的Pokémon Go應用的登陸界面完全相同，用戶幾乎不可能從界面上發(fā)現(xiàn)他們安裝的是惡意應用。

圖為仿版Pokemon GO詳情頁面

雷鋒網(wǎng)建議大家千萬不要隨意安裝來路不明的APK，如果已經(jīng)安裝，那么可以按照下面的方法檢查，你的Pokemon GO是否有問題。

進入應用程序的權(quán)限管理界面，查看已經(jīng)安裝的Pokemon GO具備哪些權(quán)限。如果包含發(fā)起電話呼叫、閱讀短信、錄制音頻、修改地址簿中的聯(lián)系人、讀取網(wǎng)頁歷史或者更改Wi-Fi連接等不必要的權(quán)限，那么很可能你的Pokemon GO就是假的，因為開發(fā)商原版的游戲里并不要求以上這些高級權(quán)限。

目前，Pokemon GO安卓版情況較多，但是對于已越獄的蘋果用戶來說同樣需要小心，因為木馬和病毒也同樣可以植入ipa文件里。

風險3：黑客攻擊

熱門游戲通常會成為黑客的首選攻擊目標。

一周前，黑客組織PoodleCorp對PoKemon Go的服務器進行DDos攻擊，并導致服務器宕機，玩家暫時無法登陸游戲。PoodleCorp的老大XO還發(fā)推特表示，接下來他們將要展開更大規(guī)模的網(wǎng)絡攻擊。

已有外媒聯(lián)系PoKemon Go開發(fā)商Niantic的開發(fā)者，詢問其所采取的對策，并隨時更新期進展。不過，這很難知道宣稱對網(wǎng)絡攻擊負責的PoodleCorp規(guī)模有多大。也不清楚，他們是否還有其他目的。

雷鋒網(wǎng)建議喜歡PoKemon Go的用戶，一定要謹慎授權(quán)（敲黑板，一定要謹慎），防止個人信息泄露。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。