当心！Pokemon Go可能会“抓取”你的个人信息

　　结合了AR和LBS(基于地理位置服务)技术的Pokemon Go自上线以来，不仅刷爆了朋友圈，也持续霸占着各大应用商店免费应用下载排行榜的前排宝座。有相关数据显示，

　　这款游戏目前在美国的下载量已超过750万次，每天平均活跃用户的数量直逼Twitter，用户平均每天玩43分钟，超过了Instagram。

　　虽然目前Pokemon Go只在美国、新西兰、澳大利亚等27国家正式上线。中国地区仍然处于IP+GPS双锁定的状态，但仍有不少玩家跨区下载。当大家开着定位，满世界疯狂寻找小精灵的时候，你的个人信息也可能成为了别人的抓取目标。有位玩家就在Tumblr上发文吐槽了开发商对用户个人隐私保护的“疏忽”。

　　风险1：关联账户

　　为了玩这个游戏，你需要一个个人账户。但不能直接在游戏界面创建，需要使用谷歌账号或者Pokemon官网注册账号。由于Pokemon官网出现故障，暂时不能注册新用户，故只能通过谷歌账户来登陆。那么问题来了。

　　启动游戏，点击关联谷歌账户定向登录时，通常用户会收到一条安全提示：此账号将与XX应用相关联，该应用将获取此账号的部分个人资料。但这名玩家发现，他并没有收到此类提示，即便如此，还是继续登录了。随后他去自己的Google账户查看了下被授予的权限，发现：Pokemon Go已对谷歌账户有“完全访问权限”。

　　在谷歌官方帮助页面中，对“完全访问权限”的解释是：当你授权给一个应用程序的完全访问权限时，此关联应用程序可以访问到你谷歌账户的所有信息。

　　也就是说，当你授权Pokemon Go以后，游戏开发商可以读取你所有的邮件信息，以你的身份发送邮件，访问你的谷歌云盘，并可以删除里面的文件，查看你的搜素记录以及导航记录，访问你存储于谷歌相册里的所有个人照片，以及其他各种个人信息。

　　而使用Gmail邮件作为用户授权认证机制(比如修改密码)，游戏开发商也有很大可能获得你其他网站账户的访问权限。这名玩家在文中表示，虽然，Niantic公司计划进行全球个人信息窃取的可能性不大，这个漏洞可能仅仅是一时疏忽造成的。但具体的细节我们不得而知，并立刻撤销了Google 账户授权，删除了Pokemon Go游戏应用。

　　随后，Pokemon Go官方对该问题发表了声明称，他们已注意到这个问题，并表示Niantic公司仅仅只会获取用户最基本的谷歌账户信息，同时针对该问题首次对Pokémon Go发布了更新版本(version 1.0.1)。谷歌官方也证实了Niantic公司并未获取除了用户的ID和邮箱地址外的其他信息。

　　不管是否真如Niantic公司和谷歌所言，PokémonGo确实拥有用户谷歌账户的完全访问权限，对没有及时更新应用的用户来说无疑是一个巨大的安全威胁。

　　虽然开发人员设置这种用谷歌账号的登陆方式时，通常也会对自己所需要的操作权限有一个限定，但*的办法是，让用户自己决定访问权限。

　　风险2：仿版

　　据安全公司Proofpoint报告，在7月7日，即游戏正式发布的第三天，他们就发现有非官方渠道发布的Pokemon GO游戏安装包(。apk文件)中包含DroidJack恶意代码。

　　DroidJack是一个远程控制恶意工具，它可以攻击安卓设备，为攻击者种下后门，让其通过远程控制的方式进行木马攻击。

　　对于还无法在官方应用商店下载到游戏的用户，通过第三方APP市场下载来源不可信的应用成为了很多人的选择，而这也为攻击者发动攻击提供可能。

　　虽然这个恶意的APK并没有大规模的传播，但是它的上传时间距离官方在新西兰和澳大利亚正式上线Pokémon Go仅仅只有72小时。 也从一定程度上说明了网络攻击者可以利用Pokémon Go来诱导全世界范围内的用户安装他们的恶意软件，从而实施大范围的网络犯罪。

　　恶意Pokémon Go应用的登陆界面，与合法的Pokémon Go应用的登陆界面完全相同，用户几乎不可能从界面上发现他们安装的是恶意应用。

　　雷锋网建议大家千万不要随意安装来路不明的APK，如果已经安装，那么可以按照下面的方法检查，你的Pokemon GO是否有问题：进入应用程序的权限管理界面，查看已经安装的Pokemon GO具备哪些权限。如果包含发起电话呼叫、阅读短信、录制音频、修改地址簿中的联系人、读取网页历史或者更改Wi-Fi连接等不必要的权限，那么很可能你的Pokemon GO就是假的，因为开发商原版的游戏里并不要求以上这些高级权限。

　　目前，Pokemon GO安卓版情况较多，但是对于已越狱的苹果用户来说同样需要小心，因为木马和病毒也同样可以植入ipa文件里。

　　风险3：黑客攻击

　　热门游戏通常会成为黑客的*攻击目标。

　　一周前，黑客组织PoodleCorp对PoKemon Go的服务器进行DDos攻击，并导致服务器宕机，玩家暂时无法登陆游戏。PoodleCorp的老大XO还发推特表示，接下来他们将要展开更大规模的网络攻击。

　　已有外媒联系PoKemon Go开发商Niantic的开发者，询问其所采取的对策，并随时更新期进展。不过，这很难知道宣称对网络攻击负责的PoodleCorp规模有多大。也不清楚，他们是否还有其他目的。

【本文由投资界合作伙伴雷锋网授权发布，本平台仅提供信息存储服务。】如有任何疑问，请联系（editor@zero2ipo.com.cn）投资界处理。