O game Pokémon Go, desenvolvido pela Niantic em parceria com a Nintendo, é um dos assuntos mais comentados do momento, não só pela tecnologia embarcada, mas pela polêmica que está sendo gerada em torno dele. Mesmo que esteja disponível apenas em alguns países, o jogo de realidade aumentada já foi baixado por milhões de pessoas em todo o mundo, além de ser responsável por aumentar o valor das ações da Nintendo em 40% desde o seu lançamento. Apesar de todo esse sucesso, o Pokémon Go apresenta características que podem representar riscos para usuários e sistemas de TI.
Nível de acesso
Os desenvolvedores afirmam que o erro foi corrigido, mas primeiras versões do app carregavam problemas no nível de autorização para utilização de dados do usuário. Ao fazer o login no app com uma conta Google, o jogador permitia que o app e, por consequência, seus desenvolvedores e qualquer pessoa com acesso à base de dados de usuários, acesso total à e-mails, documentos, histórico de navegação e fotos.
O app também utiliza os recursos de localização por GPS do smartphone enquanto está em execução, mantendo um histórico de localização do usuário, e já há notícias de pessoas sendo atraídas para golpes e furtos enquanto procuram pelos pokémons. Uma vez que o dispositivo móvel do jogador é roubado, com ele também são levadas informações, dados e e-mails corporativos, um risco grave de perda de informações para as empresas.
Conexão de dados
O usuário necessita de uma boa conexão de dados para conseguir jogar. Levando em consideração a alta popularidade do game, os jogadores podem perfeitamente utilizar a rede e conexões de dados móveis das empresas onde trabalham para capturar seus “Pikachus”. O alto tráfego e consumo de dados podem impactar a qualidade de rede e os planos móveis corporativos, gerando custos para as companhias.
Versões maliciosas do app
Devido ao alto volume de novos usuários, os servidores oficiais não estão conseguindo atender todos os novos pedidos de conexão do app, além disso a Niantic não disponibilizou oficialmente o jogo em todo o mundo. A solução encontrada pelos usuários é a instalação a partir de arquivos APK hospedados em servidores espelho que podem, na verdade, hospedar malwares. Já se notou também a prática de phishing aliada ao app, em que software malicioso é disfarçado para parecer, por exemplo, um manual do usuário ou pacotes de recursos especiais para serem utilizados na brincadeira. Ao executar esse app, o usuário tem seus dados, fotos, contas e senhas roubados e pode ser vítima de um ataque do tipo ransomware em que o cibercriminoso só permite acesso aos dados mediante pagamento de um resgate.
Para se proteger, as empresas devem criar novas políticas de segurança que impeçam a conexão com os servidores do app, devem também fazer uma monitoria da carga de utilização de suas redes, para identificar a execução e uso do jogo em suas instalações. É possível também instalar recursos avançados de segurança no próprio dispositivo móvel que permitem aplicar as políticas de segurança, monitoria de conexão e busca por software e conexões maliciosas, impedindo a execução de app que podem trazer riscos e protegendo usuários e sistemas de falhas de segurança.
* Edison Figueira é Chief Product Officer da BLOCKBIT