Go to the profile of Dominik Bärlocher
Dominik Bärlocher
Journalist. Hacker. Strongman. Mag Giraffen.

Pokémon Go ist ein Alptraum für die Sicherheit

Das Alternate-Reality-Game (ARG) Pokémon Go erobert die Herzen der Spieler im Sturm. Das Konzept ist einfach: Spieler laden sich das Spiel vom App-Store ihrer Wahl — entweder iTunes oder Google Play — herunter und können dann mit den mobilen Geräten auf die Jagd nach Pokémon gehen.

Dieser Artikel enthält:

  • Generelle Informationen zum Spiel Pokémon Go, das für Android und iOS-Geräte erhältlich ist.
  • Aufklärung über die Berechtigungen, die die iOS-Version verlangt
  • Kurzanalyse der Berechtigungen für die Android-Version
  • Warnung vor einer verseuchten Version des Spiels
  • Aufklärung über die Malware DroidJack
  • Weg, das Spiel auf Android zu installieren, ohne Drittdienste zu nutzen.

Hersteller Niantic — ein Ableger des Google-Mutterkonzerns Alphabet — hat die knuffigen Kampfmonster aus Japan mit Mechanismen ihres bisher grössten Hits Ingress verbunden und so nicht nur ein ARG geschaffen, das neue Spieler packt, sondern auch noch Nostalgie- und Pokémon-Fans begeistert. Innerhalb 24 Stunden hatten bereits 5% aller Android-Geräte in den USA das Spiel installiert. Kurz: Das Spiel hat einen noch nie dagewesenen Erfolg.

Auch sozial hat das Spiel eingeschlagen wie eine Bombe. In Europa ist das Spiel zwar noch nicht erhältlich, doch haben findige Gamer bereits einen Weg gefunden, das Spiel auch hierzulande zu spielen. Damit ist auch der Punkt erreicht, wo Hacker sich in den Wahn einklinken. Und Diebe. Und allerlei anderes Gesocks.

Pokémon Go will alles sehen

Games und andere Applikationen auf dem Handy oder dem Tablet zu installieren ist einfach. App Store. Klick. Fertig. Das geht ganz fix und ist ein offiziell vom Betriebssystem-Hersteller (entweder Google oder Apple) abgesegneter Prozess, daher wird der von allen Geräten als vertrauenswürdig und sicher eingestuft. Apple und Google setzen da eine Menge Goodwill der Entwickler voraus, denn diese müssen selbst deklarieren, welche Berechtigungen eine App will.

Angenommen eine App kann Fotos knipsen und diese dann Schwarz/weiss machen. Im Kontext von Berechtigungen braucht die App also mindestens Zugriff auf folgendes:

  • Kamera: Aufnahme der Fotografie
  • USB-Speicher: Speicherung der Datei

Es ist aber nichts Neues, dass Entwickler Profit aus den Berechtigungen schlagen wollen. Denn die Daten, die gesammelt werden können für viel Geld verkauft werden. So ist es auch schon vorgekommen, dass simple Taschenlampen-Apps, die im wesentlichen nur den Blitz der Kamera (sprich: Kamera-Berechtigung) einschalten, auch Zugriff aufs Internet, Account-Daten auslesen und den Bildspeicher ansehen wollen. In manchen Fällen haben diese Apps hunderttausende Downloads. Grund dafür ist, dass die meisten Nutzer keine Ahnung haben, welche Berechtigungen eine App eigentlich will.

Pokémon Go ist da keine Ausnahme. Die Version für Apples iOS-Betriebssystem hat Privatsphären-Besorgte damit schockiert, dass sie vollen Zugriff auf den Google-Account des Benutzers will.

Full Account Access erlaubt Pokémon Go unendlich viel.

Mit der Installation erlaubt ein Benutzer der App auf allen iPads und iPhones also mindestens Folgendes:

Kurz: Alles, was ein Nutzer jemals auf Google oder mit einem Google-Serivce getan hat, kann von Pokémon Go ausgelesen, analysiert und vermarktet werden.

Um die Pokémon in die echte Welt zu bringen, braucht Pokémon Go Zugriff auf die Kamera.

Merkwürdigerweise scheint dieses Problem aber nur auf iOS — also iPads und iPhones zu bestehen, denn die Berechtigungen für die Android-Version kommt etwas zahmer daher.

  • In-App-Käufe
  • Identität: Konten auf dem Gerät suchen
  • Kontakte: Konten auf dem Gerät suchen
  • Standort: Genauer Standort (GPS- und netzwerkbasiert)
  • Standort: Ungefährer Standort (netzwerkbasiert)
  • Fotos/Medien/Dateien: USB-Speicherinhalte ändern oder löschen
  • Fotos/Medien/Dateien: USB-Speicherinhalte lesen
  • Speicher: USB-Speicherinhalte ändern oder löschen
  • Speicher: USB-Speicherinhalte lesen
  • Kamera: Bilder und Videos aufnehmen
  • Sonstige: Daten aus dem Internet abrufen
  • Sonstige: Vibrationsalarm steuern
  • Sonstige: Pairing mit Bluetooth-Geräten durchführen
  • Sonstige: Auf Bluetooth-Einstellungen zugreifen
  • Sonstige: Zugriff auf alle Netzwerke
  • Sonstige: Konten auf dem Gerät verwenden
  • Sonstige: Netzwerkverbindungen abrufen
  • Sonstige: Ruhezustand deaktivieren

Diese Berechtigungen ergeben im Kontext des Spiels durchaus Sinn, denn ohne Kamerazugriff könnte das Spiel keine Pokémon in der echten Welt darstellen.

Fix erst nach Serverproblemen

Medien wie das Technologiemagazin TheVerge haben haben Niantic mit der merkwürdigen Frage nach Berechtigungen konfrontiert. Die Antwort besagt, dass es sich um einen Fehler handelt. Ohnehin habe die App nie mehr als grundlegende Daten wie Username und die E-Mail-Adresse ausgelesen.

Das Versäumnis werde mit einem Update der App aber schon bald behoben.

Derweil plagen sich Nintendo, Niantic und Google mit einem anderen Problem herum: dem Erfolg des Spiels. Pokémon Go ist vorerst nur offiziell in den USA, Neuseeland und Australien erhältich. Schon dieses Release hat die Server der Software-Giganten in die Knie gezwungen. Daher ist die Veröffentlichung auf dem europäischen Markt verschoben worden, bis diese Serverprobleme im Griff sind.

Diesen Umstand machen sich Hacker zu Nutze.

Die virenverseuchte internationale Version

Da Pokémon ein Phänomen ist, das nicht nur in den USA begeistert sondern auch Gamer auf dem Rest der Welt, sind schnell Tricks und Hacks aufgetaucht, wie das Spiel auch in anderen Teilen der Welt gespielt werden kann.

Hacker haben eine Version veröffentlicht, die mit Malware gespickt ist. Namentlich handelt es sich dabei um die Malware DroidJack, ein Remote Access Tool.

DroidJack erlaubt es einem Hacker

  • Alle Nachrichten auf dem mobilen Gerät anzusehen
  • Alle Daten einzusehen und zu kopieren
  • Telefonanrufe abzuhören
  • Alle Kontakte einzusehen
  • Das Mikrofon und die Kameras des Geräts ein und auszuschalten
  • Die technischen Daten IMEI, Wi-Fi MAC-Adresse und die Daten über den Serviceanbieter einzusehen
  • Die GPS-Daten des Geräts einzusehen

Geholfen wurde den Hackern von den Medien, die etliche Anleitungen publiziert haben, wie Pokémon Go auch ausserhalb der offiziellen Release-Nationen zu spielen. Darunter auch zahlreiche, die den Spielern die verseuchte Version des Spiels empfohlen haben.

Wie Pokémon Go sicher gespielt werden kann

Dennoch kann mit einigen kleinen Handgriffen das Spiel über den offiziellen Google Play Store installiert werden. Das ist sicher, da die App exakt die selbe ist, wie auch in den offiziellen Release-Ländern verbreitet wird.

Es ist gut möglich, dass Google diesen Weg bald schon deaktivieren wird, aber zum Zeitpunkt der Veröffentlichung dieses Schreibens funktioniert er noch.

So gehts:

  1. Log dich auf einem PC oder einem Mac auf play.google.com ein
  2. Klicke auf diesen Link: https://play.google.com/store/apps/details?id=com.nianticlabs.pokemongo&hl=de
  3. Installiere das Spiel wie gewohnt

ACHTUNG: Schweizer Medien wie Blick am Abend und NZZ.ch raten zum App-Download von einer Site namens apkmirror.com. Diese App ist nicht verifiziert und kann unter Umständen die Malware DroidJack enthalten.

Über den Autor dieses Artikels

Dominik Bärlocher hat mehrere Jahre für ein Zürcher IT-Sicherheitsunternehmen gearbeitet. Er hat fünf Bücher zum Thema IT-Security mitverfasst.

➤➤ Folge Medium auf Deutsch auf Twitter | Facebook | RSS. Du möchtest selbst auf Medium schreiben? Klicke hier, um mehr zu Medium Deutsch und dem Schreiben auf Medium zu erfahren!