Wie man Pokémon Go gewinnt (durch Schummeln)

Will LaSala, 8. August 2016

Was RASP für Ihre App tun kann

Das heißeste Spiel auf dem heutigen Markt ist die von Niantic entwickelte Neuerscheinung Pokémon Go.  Das Spiel zwingt dich, nach draußen zu gehen und mit der realen Welt zu interagieren (hoffentlich auf sichere Weise).  Während Sie herumlaufen, erscheinen Pokémon und erlauben Ihnen, Pokéballs auf sie zu werfen, um sie alle zu fangen.  Je mehr du gehst, desto mehr kannst du versuchen zu fangen und desto stärker wird dein Pokémon.  Der Schlüsselmechanismus im Spiel besteht darin, GPS zu verwenden, um Ihre Bewegung zu verfolgen und diese mit mobilen Datenpunkten zu kombinieren.

Nur 3 Tage nach der Veröffentlichung, Berichte über Hacks kamen herein .  Dies ist in der Spielebranche üblich.  In der Welt der PC-Spiele werden die beliebtesten Spiele normalerweise am selben Tag gehackt, an dem sie veröffentlicht werden.  In der mobilen Welt gibt es ein falsches Sicherheitsgefühl.  Die PC-Plattform gibt es schon seit Jahren, und Entwickler und Verbraucher sind sich aller Angriffe bewusst.  Auf der mobilen Plattform wissen die Benutzer immer noch nicht genau, was Angreifer tun können, aber sie lernen schnell.

Auf einer mobilen Plattform ist Jailbreaking oder Rooting der schädlichste Angriff.  Dies ist der heilige Gral, ein Mobiltelefon anzugreifen.  Sobald der Angreifer Zugriff darauf hat, steuert er Ihr Gerät.  Dies bedeutet, dass sie das geheime Innenleben aller Anwendungen anzeigen und auf alle Ihre verschlüsselten Daten zugreifen können.  Dies bedeutet auch, dass sie die Funktionsweise einer Anwendung ändern und noch schändlichere Hacks durchführen können.
Mit Pokémon Go haben die Angreifer genau das getan, sie haben ihre Telefone mit einem Jailbroke versehen und die Pokémon Go-Anwendung analysiert.  Wenn der Schlüsselmechanismus darin besteht, GPS zu verwenden, um Ihren Standort zu verfolgen, ist dies das erste, was die Angreifer anstrebten.  Die Angreifer bauten eine spezielle Bibliothek auf, die sich in die Pokémon Go-App einfügte und die GPS-Daten manipulierte, die die Pokémon Go-App verfolgte.  Dies ermöglichte es dem Hacker (jetzt Betrüger), an Orten zu sein, an denen er nie war, und zu Bereichen zu gehen, in denen er nie gewesen war.

Die Entwickler von Niantic haben versucht, dieses Problem zu beheben.  Sie haben ihren Code gepatcht und Überprüfungen für die Jailbreak-Erkennung hinzugefügt.  Leider war der Schaden bereits aufgetreten, und die Hacker konnten schnell ihre eigenen Patches anwenden, die die Jailbreak-Erkennung der Anwendungen deaktivierten.

Jailbreaking oder RootingWenn es um Jailbreaking und Root-Erkennung geht, ist es immer besser, früh zu beginnen und nicht zu teilen, was Sie tun.  Im Fall von Pokémon Go war es offensichtlich, dass die Anwendung jetzt einen Jailbreak-Erkennungsmechanismus enthielt, da die verwendeten Daten nicht mehr zulässig waren.  In den meisten Anwendungen ist es besser, a zu verwenden Selbstschutz der Laufzeitanwendung (RASP) Das prüft jedes Mal, ob die Anwendung gestartet wird oder zur Front-Running-Anwendung auf dem Telefon wird, ob Jailbreaking und Rooting durchgeführt werden.  Wenn RASP dies überprüft, ist es am besten, die Anwendung einfach ordnungsgemäß zu beenden und dem Hacker nicht mitzuteilen, dass etwas gefunden wurde.

Selbst wenn die Jailbreak- und Root-Erkennung gefährdet ist und der Angreifer die Anwendung patchen kann, kann RASP weitere Technologien anbieten, um die Arten von Angriffen zu verhindern, die Pokémon Go erlebt hat.  Der nächste Angriff, der in der Pokémon Go-Anwendung verwendet wird, ist ein Library Injection-Angriff.  Hier konnte der Hacker die GPS-Bibliothek manipulieren und seine eigene injizieren.  Durch die Nutzung einer RASP-Lösung kann die Anwendung diese Rouge-Bibliotheken erkennen und verhindern, dass die Anwendung sie lädt.

Keine Lösung ist jemals ausfallsicher und keine Plattform ist jemals frei von Angriffen.  Jeden Tag werden neue Angriffe eingeführt und jeden Tag wird eine neue Lösung entwickelt.  Technologien wie RASP helfen dem neuen Ökosystem für mobile Anwendungen, sich selbst zu schützen und das Leben eines Anwendungsentwicklers zu vereinfachen.

Will LaSala ist Director of Services @ VASCO und Veteran der Sicherheitsbranche mit einer Leidenschaft für Spiele und ethisches Hacken.

Weitere Informationen zu Sicherheitslösungen für mobile Anwendungen, einschließlich RASP, finden Sie unter https://www.onespan.com/products/mobile-security-suite

Will LaSala ist Director of Security Solutions bei OneSpan.  Er trat 2001 in das Unternehmen ein und bringt über 25 Jahre Erfahrung in den Bereichen Software und Cybersicherheit mit. Seit seinem Eintritt bei OneSpan war Will an allen Aspekten der Produktimplementierung und Marktausrichtung innerhalb