نقاش : لعبة Pokemon Go والحديث حول مخاطر أمنيه لها
كثر الحديث خلال اليومين الماضيين عن لعبة إنتشرت بشكل كبير تُسمى Pokemon Go ، هذه اللعبة التي تعمل على مُعظم الهواتف النقالة والتي أصبحت من الألعاب ذات الشعبية العالية كما ذكرت خلال اليوميين الماضيات ، وكوني لستُ من مُحبين الألعاب لم أنتبه لها إلا اليوم وعن طريق الصدفة حيث رأيت أحد الأصدقاء يقوم بنشر رابط اللعبة من خارج Google play store ، حيث تسألت عن هذا الموضوع ولماذا يجب علي تحميل اللعبة من خارج ؟ ووجدت بأن هذا الرابط الرسمي للتطبيق ، والظاهر بأن اللعبة لا تظهر في المتاجر العربية لـ Google play store وأنه حسب الموقع الرسمي للعبة ، فأن الدول التي تستطيع إختيارها كدولة لك هي كما يلي بالصورة :
وعند تصفح بعض المعلومات الرئيسية لهذه اللعبة وجدت أنها تتعامل مع بعض الصلاحيات الغريبة نوعاً ما مثل :
- قرأة الملفات والوسائط من الذاكرة.
- تتطلب تحديد الموقع من خلال GPS.
- التعامل مع الكاميرا لأخذ الصور والفيديوهات.
- الإتصال من خلال Bluetooth.
- بعض الصلاحيات الأخرى مثل التحكم الكامل بالشبكة ، التعامل مع الحسابات داخل الحساب وغيره من الصلاحيات.
بعد مُشاهدة طريقة عمل اللعبة ومقارنتها بالصلاحيات فهي فعلاً تحتاج ما يلي من الصلاحيات :
- تتطلب تحديد الموقع من خلال GPS لكي تحدد موقعك وتقوم بالتحرك بالشوارع حسب معطيهات الشخصية المطلوبة.
- التعامل مع الكاميرا لأخذ الصور والفيديوهات لتصوير الشخصيات التي تم العثور عليها.
الجدير بالذكر هنا بأن هذا التطبيق يجعلك تقوم بالتحرك لأماكن وشوارع مُختلفة قد يكون بعضها حساس في بعض الدول ، حيث قد يكون الهدف الخاص بك متواجد في مُتحف ، متجر ، سينما أو أي مكان أخر حسب الأشخاص اللذين قاموا بلعب هذه اللعبة ، وحسب الموقع الرئيسي الخاص بها أيضاً ، فهل يا ترى يقوم البرنامج أيضاً بجمع هذه المعلومات من صور ومداخل وإحداثيات أكثر دقة لهذه الأماكن وإستخدامها في أمور أخرى وتحويل المُستخدم لأداة جمع معلومات ذهبية ونادرة للعديد من الأماكن دون الوصول إليها بشكل مباشر ؟ قد تكون كذلك حسب ما تحدثنا عن موضوع الصلاحيات لها نوايا خفية أخرى بالحصول على بعض المعلومات من أجهزة المستخدمين بالإضافة إلى ما ذكرنا عن جمع المعلومات ؟
إلى الأن لم نقم بـ iSecur1ty بتحليل تقني حقيقي لهذه اللعبة ولم نرى أي تحليل تقني حقيقي لها لهذا لا نمتلك أي معلومات “تقنية” دقيقة لنشاركها معكم ،وبعدما رأينا مجموعة مواضيع وأشخاص يتحدثون عن أن هنالك مخاطر أمنية لهذه اللعبة ، أحببنا طرح هذا النقاش لكي نرى أراكم وتفاعلكم حول هذا الموضوع بحسب النقاط التالية :
- هل تعتقد بأن هذه اللعبة قد تخفي خطر ما على المستخدم ؟
- في حال كان التطبيق لا يقوم بأي أمور خفية على أجهزة المستخدم ، ألا ترى بأن هنالك خرق لخصوصية الأماكن التي قد يتم تصويرها ؟
- هل قمت بملاحظة أي أمور أخرى حول هذه اللعبة تدعوا للشكوك ؟
- لماذا برأيك تم فتح اللعبة بدول دون دول أخرى ؟
- هل برأيك مثل هذه التطبيقات التي تتطلب صلاحيات غير مفهومة نوعاً ما قد تشكل خطر كبير على المستخدم ؟
بنهاية الأمر هذا النقاش لا ينفي ولا يؤكد أي مخاطر حول هذه اللعبة ، وأحببنا فقط أن نقوم بأخذ رأيي القرائ حول هذه المسألة ومحاولة إستنتاج أي معلومات ودراسة ترابطها من خلال أرائكم.
– هل تعتقد بأن هذه اللعبة قد تخفي خطر ما على المستخدم ؟
* بالتاكيد فكما نقول دائما لا يوجد شى ذو نوايا حسنه , مع هذا الكم من الصلاحيات والتي بالفعل بدونها لايعمل التطبيق بطريقه منتظمه فهناك ما قد يخفيه.
في حال كان التطبيق لا يقوم بأي أمور خفية على أجهزة المستخدم ، ألا ترى بأن هنالك خرق لخصوصية الأماكن التي قد يتم تصويرها ؟
* طبقا لما ذكر , فانه يمكن ان تقوم بخرق خصوصيه منشأت هامه مثل الاقسام الشرطيه او البنوك خصوصا ومعرفه حدود وبوابات واماكن تمركز لشركات التامين خارج البنك ايضا.
هل قمت بملاحظة أي أمور أخرى حول هذه اللعبة تدعوا للشكوك ؟
* هناك مواقع اجنبيه تطرقت ان نسخه ال APK المنشوره علي الانترنت قام مركز امني (Proofpoint) بتحليل ووجود انه يقوم بتنزيل باكدور يطلق عليه DroidJack
الشركة المنتجة للعبه هي شركة تابعه لجوجل نفسها وبدأت بتجميع الصور والبيانات في بدايه الامر من خلال موقع panoramio ومن بعدها عندما انطلقت لعبه ingress كان من بين مهام اللاعبين عمل portals والتي اعتمدت علي تصوير اشياء فنيه مثل التماثيل وارسالها ليثم الموافقه عليها وطرحها للعب واستغلت Niantic هذه البيانات في لعبه بوكيمون بنفس الاماكن ونفس الصور ونفس الاسماء وقد تأكدت بنفسي من الامر عن طريق فتح اللعبتن علي جهازين مختلفين واتضح لي انهم نفس الاماكن التي يجب التحرك لها
احييك اخي محمد على هذه الموضوع المهم
كنت اتسائل هل تحمس الناس التي تسكن في دول لم تنزل بها اللعبة سيجعلهم يحملون ملف APK من مصادر خارج جوجل بلاي ! وبالفعل تم ذلك , ياترى هل هذه الملفات ملغة ؟!
وكنت اتسائل هل لو تم اختراق نظام اللعبة وراد المخترق تصوير جزء معين مهم بالنسه له لايمكنه الوصول اليه !
هل سيرسل لك بوكيمون قوي في هذا المكان لتفتح الكاميرا بكل ايرادتك وتصوبها على البوكيمون لاصتياده . في حين هو جعلك اداة في يده .
مهم ان يقوم مجتمع اي سكيورتي بتحليل اللعبة شفرة شفرة لان اللعبة من ظاهر النتائي ستصبح وباء على المجتمعات
هنا تقرير من cnbc arabic عن اللعبة | http://www.cnbcarabia.com/?p=313600
تنبيه مهم : اللعبة انتشرت على بعض المنصات للتحميل، وهي تحتوي على نسخة من Remote Acess Trojan
برأيي أصبحت الالعاب تلعب على الناس هههههه من الحماقه من شخص واعي ان يمد لتطبيق هذه المعلومات
حقيقتا الغريب في الامر خلال 5 ايام وصل تحميل مليار! اين نحن في عصر انتظار الالعاب؟!!!
نترك الأمر للخبراء من اجل الفحص للكود المصدري للعبه و يضل بما ان اللعبه أشتهرت سيتم مراقبتها بأشتى النواحي و الوصل إلى غايتها اذا كانت سيءه!
اسلوب ذكي جدا لتسخير عمالة كبير وبشكل مجاني لاي كان المستفيد سواء جوجل او غيرهم في تحديد او تصوير اماكن حساسة بشكل كبير
وكما شاهدت في اغلب المشاركيين ان اغلب البوكيمونات النادرة التي يتم تجميعها تكون في اماكن حيوية او حساسة او مهمة او حتى بالقرب منها وطبعا بسذاجة اللاعب وفتحه الكاميرا مع بعض من الكلمات المفتاحية التي يقم بنشرها عبر وسائل التواصل الاجتماعي مثلا وجدت xxx بالقرب من yyyy وهو مكان حيوي على سبيل المثال تم تأكيد المعلومة المفيد اي كان وجه الاستفادة سواء بنواية حسن او سيئة في النهائية سيكون هناك احدهم ذو نية سيئة لاستخدام هذه المعلومات التي تم حصدها
https://techcrunch.com/2016/07/11/pokemon-go-shouldnt-have-full-access-to-your-gmail-docs-and-google-account-but-it-does/?ncid=rss&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29&utm_content=FaceBook&sr_share=facebook
http://thehackernews.com/2016/07/download-pokemon-go-android-iphone.html
بحسب الموقع السابق يبدو ان هنالك تخوف من هذه اللعبة حيث ان الدروس المربوطة بهذه اللعبة قد تكون تحتوي على مالوير و فيروسات تمكن الهاكر من التحكم الكامل بهواتف اندرويد
لا أظن أنها ستشكل خطر لأن
-1- الأماكن الحساسة لا يمكن الوصول لها من عامة الناس.
-2-هناك برمجيات خبيثة تعمل وتصل لصلاحيات ROOT حتى أن هناك برمجيات تمكن نفسها من صلاحيات root ودون علم المستخدم أصلا وثبت برمجيات أخرى دون علمه إذن فما الحاجة الأمنية لمثل هذه البرمجيات التي تحوم حولها الشبهات والبديل الأقوى والخفي موجود.
هذا لا يعني أن الشركة المنتجة لن تسفيد من جمع المعلومات سواءا كانت جغرافية أو معلومات عن الشبكات أو أرقام الهواتف أو دراسات أخرى…
أما سبب عملها في دول محددة فقط فقد يكون السبب إشهاريا خاصة وأن اللعبة تستلزم تشغليل GPS لذل لو أرادت الشركة منعها حقيقة لمنعتها حتى بعد تحميله من موقع آخر..
[وجهة نظر فقط]
بسم الله بسم الله
هل تعتقد أن اللعبه تخفي خطرا ما على المستخدم؟
كل شئ لا يستبعد واي تطبيق تقني ممكن أن يضاف له أكواد سيطرة على الجهاز وهناك برامج لعمل تحكم كامل بالهاتف من بلوتوث وكاميرا وأتصالات وتلاعب بالمعلومات وكل شي يخطر في بالنا في عالم اختبار الاختراق وحتى ممكن يصور زوجتك في البيت ويضل يشاهد فيديو صوره وصوت ويحلف لنا واحد انها حصلت هذا الحادثه في الواقع
السؤال الثاني من وجهه نظر الخرق قد يحصل هناك أن لم يكن برمجيات تجسسيه على الأفراد هناك خرق في الخصوصية من قبل الدول وفي ضل التطور المعلوماتي على الشبكه العنكبوتيه العالميه يمكن تطوير انظمه المسح وهذا موجود في دول مثل أمريكا وروسيا وإسرائيل والدول الكبرى
السؤال الثالث لم اجرب اللعبه بعد فهي محدوده بدول ويظهر في حجب للموقع الجغرافي الخاص بنا
السؤال الرابع الله اعلم
السؤال الخامس؟ قد يكون تصعيد للصلاحيه للاختراق وقد يكون لا فهناك برامج وخدمات تشتغل على صلاحيات الروت مثلا وأيضا خدمات الويندوز لها صلاحيات خاصه لكي تعمل بشكل صحيح
أيضا يوجد مواقع في الانترنت للتبع الأشخاص في المناطق بشريحه الهاتف أو عبر الأقمار الاصطناعية تظيف ملف صغير يعمل في الخلفيه وبهذا يعرف موقعك ويمكن تحميل الملفان ومراقبة الهااتف الجوال فمثلا إذا سبحان الله سرق منك أو فقد بمكان ما وحقيقة نحن نتقدم في الزمن ويظهر كل ما هو جديد من برمجيات وأدوات حديثه وهناك تسابق ومنافسه بين الشركات لإنتاج أفكار جديده نحو مستقبل واعد بالتطور في المجال التقني المعلوماتي بكافة تخصصاته
سلام عليكم
اولا اشكركم على الجهد المبذول لاثراء المحتوى العربي بمواضيع مهمه.
ثانيا احببت ان اشاركم براي من وجهه نظر مبرمج اندرويد ومطلع على كثير من المواضيع المرتبطه بالشركات البرمجيه مثل جوجل.
١- هل تعتقد بأن هذه اللعبة قد تخفي خطر ما على المستخدم ؟
بالتاكيد هناك بعد الاخطار ولكن ليست من ناحية امنية براي الشخصي لكن لا اجزم وللخبراء الراي الفاصل بالتاكيد، المخاطر الواردة هي من طريقة استخدام اللعبة من قبل المستخدم مثلا القيادة اثناء اللعب او اللعب اثناء المشي بدون الاكتراث للطريق وقد راينا بالفعل بعض حوادث السير التي قد وقعت بالفعل في اليومين الماضيين.
٢- في حال كان التطبيق لا يقوم بأي أمور خفية على أجهزة المستخدم ، ألا ترى بأن هنالك خرق لخصوصية الأماكن التي قد يتم تصويرها ؟
لا اريد الجزم بانه ليس هناك خرق للخصوصيه لانه ليس الهدف من اللعبة تصوير الاماكن بل يتم استخدام الكاميرا للبحث عن البوكيمونات والتقاطها لكن من الممكن حدوث الخرق اذا اسيئ استخدامها.
٣- هل قمت بملاحظة أي أمور أخرى حول هذه اللعبة تدعوا للشكوك ؟
لحد الان لا لم ارى اي شيء يثير الشك.
٤- لماذا برأيك تم فتح اللعبة بدول دون دول أخرى ؟
لسبب بسيط وتم الافصاح عنه من قبل الشركه: من غير المعقول اتاحه اللعبة لكل الدول في نفس اليوم او الفتره حتى لا يحدث ضرر للخوادم.
ولسبب اخر يعلمه اي شخص يعمل لدى شركة توفر خدمات عبر برامج المحمول وهو انه لا يمكن لاي شركة في العالم حتى وان كانت بقوة جوجل السيطرة على شكاوى المستخدمين والضغط الهائل علي الموظفين من قبل المستخدمين من كل نواحي العالم بين يوم وليله فيتم عادة استخدام طريقه
النشر المتزايد incremental publishing حتى لا يتم خساري عدد كبير من المستخدمين نتيجة حدوث بعض المشاكل التي لم يتم عمل حسابها.
ومع هذه الاحتياطات فقط تسبب الضغط الهائل من قبل المستخدمين بالكثير من المشاكل في اول اسبوع مع العلم انني قمت بتحميل اللعبة من اول يوم وقمت بتجربتها ولاحظت هذه المشاكل مثل الانقطاع عن الخادم والتوقف المفاجئ للعبة.
وايضا يتم نشر اللعبة للاسواق التي تدر بالربح الاكبر على الشركة مثل امريكا واوروبا وجنوب امريكا. ( الشرق الاوسط و جنوب اسيا اسواء الدول من الناحية الربحية عبر الانترنت).
٥- هل برأيك مثل هذه التطبيقات التي تتطلب صلاحيات غير مفهومة نوعاً ما قد تشكل خطر كبير على المستخدم ؟
جوابي يمكن التاكد منه من اي مبرمج اندرويد
ا- In-app purchases حتى يتمكن المستخدم من شراء الاشياء المطروحه للبيع مثل كرات البوكيمون.
ب- Identity هذه الصلاحية ضروريه حتى يتمكن المستخدم من تسجيل الدخول بواسطة حساب الجوجل وحتى تتمكن من تسجيل الدخول يجب الحصول على هذه الصلاحية.
ت- Location حتى يتمكن الاعب من استخدام الخاصيه الرئيسية للعبة وهي محاكات الواقع الافتراضي.
ث- Camera ايضا جزء اساسي في اللعبه وهو استخدام الكاميرا لمشاهدة البوكيمونات وكانها موجوده في الحقيقة agumented reality
ج- Photos/Media/Files لعدة اسباب منها ان اللعبة تمكنك من تصوير البوكيمونات و حفظ الصورة في ذاكرة الهاتف و ايضا لسبب مهم وهو حتى يتمكن التطبيق من حفظ الملفات الخاصه في اللعبه في ذاكرة الهاتف مثل الصور الخاصه بتصميم اللعبة وقاعدة البينات.
ح- Other وهي ايضا صلاحيه مهمه للتمكن من الوصول للانترنت للحصول على الموقع بدقه اكبر وتحميل الخرائط المدمجه باللعبه وبالمناسبه هذه الصلاحيه تسمى صلاحيه عامه لانها يجب ان تكون نوجوده في اي تطبيق للوصول الى الشبكة.
يمكن التاكد من هذه الصلاحيات عبر https://play.google.com/store/apps/details?id=com.nianticlabs.pokemongo
رايي بخصوص نظرية المؤامرة: لا يجب عليك ان تخاف من هذه اللعبه لانك بالتاكيد مشترك مع جوجل وقد حصلوا على معلوماتك بالفعل من قبل هذه اللعبه !!!
وهذا ايضا ينطبق على جميع الشركات التي توفر خدمات مثل facebook, Uber, Quora, Samsung والعديد العديد.
لكن يجب ان تعلم انهم لا يجمعون هذه المعلومات من اجل اذيتك بل من اجل مراقبة السوق وجمع المال بناءا على هذه المعلومات و يمكنك التاكد من اي شخص يعمل في قسم التسويق او في قسم تحليل المعلومات في اي شركة توفر خدمات عبر الانترنت…
جميل ما كتبت شكرا لك
العفو ياعزيزي