Komt u ze ook tegen? Collega’s op virtuele beestjes jacht? Omdat Pokemon GO daarmee software is geworden dat draait binnen het bedrijfsnetwerk, lijkt het mij geen overbodige luxe om vanuit mijn rol als IT-security officer – binnen een IT-security organisatie – wat extra informatie te geven over de dreiging die een dergelijke app met zich meebrengt. Lees voor de Pokemon GO app overigens elke app die in zeer korte tijd aan populariteit wint.
Potentiële malware
Omdat Pokemon GO bij de release niet in ieder land beschikbaar was, werden downloadbare packages al snel geïnstalleerd op telefoons. Dat in die packages ook remote overname mogelijkheden zaten, waardoor hackers met andere (privé-)gegevens aan de slag konden, was nog niet bekend …..
Geen zin in derden die zich meester maken van de telefoon? Download alleen de officiële app uit de App- of Playstore (of het equivalent van Windows). Daarnaast is er een app die goed is in het tegengaan van mobiele malware. Voor privé gebruikers is deze app gratis te gebruiken.
Vervolgens is het voor hackers gemakkelijk dit opstapje te gebruiken om persoonlijke (of zakelijke!) gegevens uit de telefoon te halen.
‘Opstapje’ voor hackers
Bij alle populaire apps is er kans dat – in de loop der tijd – een kwetsbaarheid wordt gevonden, die mogelijkheden biedt om telefoons over te nemen. Vervolgens is het voor hackers gemakkelijk dit opstapje te gebruiken om persoonlijke (of zakelijke!) gegevens uit de telefoon te halen.
Helemaal voorkomen is lastig, maar het is belangrijk om telefoons uit te rusten met de laatste patches en bij voorkeur met endpoint-beveiliging. Daarnaast is het verstandig om te blijven kijken welke rechten de applicatie vraagt van de telefoon. Bij installatie wordt bijvoorbeeld gevraagd om toegang tot contacten en locatie. Dit verandert na verloop van tijd nog wel eens, dus is het verstandig om af en toe eens te evalueren welke rechten de verschillende apps hebben en de noodzaak ervan.
Privacy & Datagebruik
Apps willen aardig wat van gebruikers weten en Pokemon GO werkt het liefst met een Google account, omdat het systeem Google Maps gebruikt als basis. Om privacy beter te beschermen is het verstandig om hiervoor een apart Google account aan te maken. Met het gebruik van Google Maps voor deze app, is het bovendien efficiënt om de eigen stad offline beschikbaar te stellen in Google Maps. Dit scheelt namelijk – afhankelijk van hoe fanatiek men is – een paar gigabyte 3G of 4G.
Last but not least wil ik melden dat het niet de bedoeling kan zijn om dergelijke apps op een zakelijke telefoon te spelen, maar dat is misschien een ‘open deur’…..
Stefan van der Wal
Security Officer ON2IT B.V.
