Hoe je Pokémon Go kan winnen (door vals te spelen)

Vasco

Pokémon Go is ongetwijfeld het populairste spel dat vandaag op de markt is. Het werd ontwikkeld door Niantic en het leuke is dat het je dwingt om naar buiten te gaan en met de echte wereld  te communiceren (hopelijk op een veilige manier). Terwijl je rondwandelt, verschijnen er Pokémon-figuren waarop je Pokéballs kan gooien in een poging om ze te vangen. Hoe meer je rondloopt, hoe meer kansen je krijgt om ze te vangen, en hoe sterker je eigen Pokémon wordt. Het sleutelmechanisme in het spel is het gebruik van gps om jouw bewegingen met die van mobiele gegevenspunten te combineren.

Amper 3 dagen na het vrijgeven van het spel, rolden er al meldingen van hacks binnen. In de gamingsector is dat echter niet ongewoon. In de wereld van pc-spellen worden de populairste spelletjes meestal al gehackt op de dag dat ze worden uitgegeven. Het pc-platform bestaat al jaren en ontwikkelaars en consumenten zijn zich terdege bewust van alle aanvallen die er plaatsvinden. In de mobiele wereld bestaat er echter nog steeds een vals gevoel van veiligheid. Gebruikers beseffen nog steeds niet goed wat aanvallers kunnen aanrichten op het mobiele platform, maar men leert snel.

De meest schadelijke aanval op een mobiel platform is Jailbreaking of Rooting. Dit is de heilige graal bij  aanvallen op een mobiele telefoon: zodra een hacker daar toegang toe heeft, krijgt hij controle over uw apparaat. Dit betekent dat de hacker alle toepassingen - hoe geheim en diep verborgen ook - kan bekijken en dat hij toegang heeft tot al je versleutelde gegevens. Dit wil ook zeggen dat hij kan ingrijpen in hoe een applicatie werkt en hacks kan uitvoeren die nog zwaardere gevolgen hebben.

Bij Pokémon Go is dat precies wat hackers deden: ze jailbreakten hun telefoons om de Pokémon Go-applicatie te kunnen analyseren. Aangezien het gebruik van gps om je locatie te bepalen het sleutelmechanisme is, was dit ook het eerste doelwit voor de aanvallers. Ze zetten een speciale bibliotheek op die zich in de Pokémon Go-app nestelde en de gps-gegevens manipuleerde die in de Pokémon Go-app bijgehouden werden. Op die manier kon de hacker (nu cheater) op plaatsen verschijnen waar hij helemaal niet was en in gebieden rondlopen waar hij nog nooit was geweest.

De ontwikkelaars bij Niantic probeerden hier een stokje voor te steken. Hun programmacode werd bijgewerkt en er werden controles toegevoegd om een jailbreak te ontdekken. Helaas was de schade al aangericht en wisten de hackers snel hun eigen patches te maken die de controles op een jailbreak weer uitschakelden.

Bij het detecteren van een jailbreak en rooting is het altijd beter om zo vroeg mogelijk te beginnen en nooit te delen waarmee men bezig is. In het geval van Pokémon Go was het duidelijk dat de toepassing nu een detectiemechanisme voor jailbreak omvatte, omdat de in het spel gebruikte gegevens niet meer aanvaard werden. Bij de meeste toepassingen is het beter om een mechanisme met Runtime Application Self Protection (RASP) te gebruiken, dat elke keer wanneer de toepassing gestart wordt naar een eventuele jailbreak of rooting zoekt of de op de voorgrond draaiende applicatie op de telefoon wordt. Wanneer RASP dit ontdekt, is het het beste om de applicatie gewoon sierlijk af te sluiten en de hacker niet te laten merken dat er iets gevonden werd.

Zelfs als de detectie van een jailbreak en rooting in het gedrang komt en de aanvaller in staat is om een patch te ontwikkelen, kan RASP nog meer technologieën aanbieden om het soort aanvallen waar Pokémon Go mee geconfronteerd werd, te voorkomen. De volgende aanval op de Pokémon Go-applicatie is een Library Injection aanval. Hierbij manipuleert de hacker de gps-bibliotheek en injecteert hij zijn eigen bibliotheek. Via een RASP-oplossing kan de applicatie deze valse bibliotheken detecteren en voorkomen dat de toepassing hieruit gegevens gaat gebruiken.

Geen enkele oplossing is onfeilbaar en geen enkel platform is ooit veilig voor dergelijke aanvallen. Er verschijnen elke dag nieuwe aanvallen en er worden elke dag nieuwe oplossingen ontwikkeld. Technologieën zoals RASP zullen het ecosysteem van de nieuwe mobiele applicatie helpen om zichzelf te beschermen en het leven van een applicatie-ontwikkelaar wat makkelijker te maken.

Will LaSala is Director of Services bij VASCO. Hij is een veteraan in de beveiligingssector met een passie voor gaming en ethisch hacken