Pokémon GO nemůže číst vaše e-mailyTom Scott
5
Kolem Pokémon GO se objevila jedna teorie o tom, že vývojáři mohou číst vaše e-maily na účtu Google. Jaká je ale pravda? A byl to úmysl nebo ne?
Odkaz zmíněný ve videu: https://gist.github.com/arirubinstein/fd5453537436a8757266f908c3e41538
Přepis titulků
Nemám práva k tomu, abych ve videu použil skutečné obrázky Pokémonů. Ale mé několikaminutové mluvení na kameru není zrovna zajímavé, proto jsem požádal svého přítele Simona, aby mi vytvořil uvěřitelné, ale neexistují Pokémony. To půjde. Tento týden Pokémon GO vyvolalo obavy o soukromí. Někdo řekl, že vývojáři hry mohou číst vaše emaily. Někdo jiný tvrdil, že nemohou.
To bylo podloženo prozkoumáním aplikace. Nakonec se všichni shodli, že je to technicky možné, ale vyžadovalo by to hodně snahy. Navíc to bylo výsledkem chyby, ne ďábelské snahy ukrást vaše data. Problémem byla povolení. Když uvidíte tlačítka jako Přihlásit přes Google nebo Přihlásit přes Facebook... Pardon... Nebo Přihlásit přes Twitter, používáte takzvaný OAuth.
Funguje to takto. Řeknete aplikaci, že se chcete přihlásit přes Google, a ta vás pošle ke Googlu. Google zkontroluje vaše přihlašovací jméno a heslo, trochu zakouzlí s vaším telefonem a pokud je spokojený, pošle vás zpět do aplikace společně s tokenem. Aplikace vezme token a dokud jí to nezakážete, může ho používat k přístupu k účtu, aniž by znala vaše heslo a aniž byste se toho museli účastnit. Je to trochu komplikovanější, což každý, kdo někdy navrhoval aplikaci, ví.
Ale tohle je dostatečně názorné. Teď ta zajímavá část. Ten token může mít přístup k celému účtu, ale také může být vytvořen tak, aby měl pouze omezená povolení. Možná může číst pouze vaše záznamy v kalendáři, možná může pouze přidávat komentáře pod videa, která sledujete. U Pokémon GO měl ten token zjišťovat vaši emailovou adresu, ne cokoliv číst.
Mělo to potvrzovat vaši totožnost. Problémem bylo, že tomu tak nebylo. Pokémon GO vytváří společnost Niantic. Původně spadala pod Google a zřejmě tam stále má své kontakty. Nepoužívala systém povolení jako ostatní. Používala starý systém. Skrz jisté manuální zásahy se tento získaný token dal změnit na super-token, který útočníkovi zpřístupnil vše na vašem Google účtu. Včetně vašich emailů.
Tohle samozřejmě nedělali, ale mohli. A z toho důvodu u Pokémon GO bylo správně uvedeno, že aplikace má plný přístup k vašemu účtu. Nyní bych rád jmenoval Ariho Rubensteina. Vývojáře, který aplikaci zkoumal a dal dohromady zprávu o tom, o co jde. Pokud chcete vidět technické detaily, odkaz bude v popisu. Nejnovější verze Pokémon GO nemá tato povolení a vše je v pořádku. Vše je v pohodě.
Nebo ne? Tohle je hlubší problém, který nemůže být napraven opravením kódu. Nechápejte mě špatně, současné využívání tokenů je lepší než předchozí řešení. Pamatuji doby, kdy jste aplikacím třetích stran museli sdělit heslo na Twitter. Ta ho pak odeslala jako nezašifrovaný text. Současné řešení je lepší, ale ne dokonalé. Má dva hlavní problémy. Zaprvé, musíte té aplikaci věřit.
Musíte věřit tlačítku Přihlásit přes Google, že dělá to, co tvrdí. Musíte věřit, že když se aplikace dotazuje na Google heslo, je to okno přímo od Google, a že ho aplikace jen nenapodobuje. Tenhle problém se netýká velkých aplikací stahovaných přes řízený Appstore. Protože Pokémon GO bylo velmi populární a nebylo dostupné všude na světě, mnoho lidí si ho na Android stahovalo odjinud. Stáhli si to z neoficiální stránky a ručně to nahráli do telefonu. Existovalo mnoho verzí nacpaných malwarem, které vám chtěly ukrást heslo, či cokoliv jiného v telefonu.
Zadruhé, lidská potřeba soukromí často neodpovídá realitě. Klademe důraz na snadno pochopitelné děsivé příběhy a ne na skutečné hrozby. Proto dělám video o Pokémon GO, proboha. Děsivý příběh o nevinné hře, kterou hrají miliony lidí, a mají k ní vztah? Co když je zlá a čte vaše emaily? Na to lidé kliknou. Ale že ta samá hra sleduje pohyb milionů lidí a jejich sociální sítě a že je spravována malou společností, která je cílem hackerů, vyděračů a vlád, které by rády tyto informace znaly...
To je nudné a abstraktní. Víme to, ale vám se to nikdy nestane, že ano? Já jsem pro to, aby se každý u konspirací zamyslel. Nikdy nepřikládejte zlé úmysly tomu, co může být vysvětleno jako chyba. Ne, hra nebyla vytvořena k tomu, aby četla vaše emaily. Pár vývojářů ve spěchu udělalo chybu.
Doufejme, že se do zpravodajství nedostanou žádné další chyby. A vy můžete chytat tyhle věci. Překlad: Mithril www.videacesky.cz
To bylo podloženo prozkoumáním aplikace. Nakonec se všichni shodli, že je to technicky možné, ale vyžadovalo by to hodně snahy. Navíc to bylo výsledkem chyby, ne ďábelské snahy ukrást vaše data. Problémem byla povolení. Když uvidíte tlačítka jako Přihlásit přes Google nebo Přihlásit přes Facebook... Pardon... Nebo Přihlásit přes Twitter, používáte takzvaný OAuth.
Funguje to takto. Řeknete aplikaci, že se chcete přihlásit přes Google, a ta vás pošle ke Googlu. Google zkontroluje vaše přihlašovací jméno a heslo, trochu zakouzlí s vaším telefonem a pokud je spokojený, pošle vás zpět do aplikace společně s tokenem. Aplikace vezme token a dokud jí to nezakážete, může ho používat k přístupu k účtu, aniž by znala vaše heslo a aniž byste se toho museli účastnit. Je to trochu komplikovanější, což každý, kdo někdy navrhoval aplikaci, ví.
Ale tohle je dostatečně názorné. Teď ta zajímavá část. Ten token může mít přístup k celému účtu, ale také může být vytvořen tak, aby měl pouze omezená povolení. Možná může číst pouze vaše záznamy v kalendáři, možná může pouze přidávat komentáře pod videa, která sledujete. U Pokémon GO měl ten token zjišťovat vaši emailovou adresu, ne cokoliv číst.
Mělo to potvrzovat vaši totožnost. Problémem bylo, že tomu tak nebylo. Pokémon GO vytváří společnost Niantic. Původně spadala pod Google a zřejmě tam stále má své kontakty. Nepoužívala systém povolení jako ostatní. Používala starý systém. Skrz jisté manuální zásahy se tento získaný token dal změnit na super-token, který útočníkovi zpřístupnil vše na vašem Google účtu. Včetně vašich emailů.
Tohle samozřejmě nedělali, ale mohli. A z toho důvodu u Pokémon GO bylo správně uvedeno, že aplikace má plný přístup k vašemu účtu. Nyní bych rád jmenoval Ariho Rubensteina. Vývojáře, který aplikaci zkoumal a dal dohromady zprávu o tom, o co jde. Pokud chcete vidět technické detaily, odkaz bude v popisu. Nejnovější verze Pokémon GO nemá tato povolení a vše je v pořádku. Vše je v pohodě.
Nebo ne? Tohle je hlubší problém, který nemůže být napraven opravením kódu. Nechápejte mě špatně, současné využívání tokenů je lepší než předchozí řešení. Pamatuji doby, kdy jste aplikacím třetích stran museli sdělit heslo na Twitter. Ta ho pak odeslala jako nezašifrovaný text. Současné řešení je lepší, ale ne dokonalé. Má dva hlavní problémy. Zaprvé, musíte té aplikaci věřit.
Musíte věřit tlačítku Přihlásit přes Google, že dělá to, co tvrdí. Musíte věřit, že když se aplikace dotazuje na Google heslo, je to okno přímo od Google, a že ho aplikace jen nenapodobuje. Tenhle problém se netýká velkých aplikací stahovaných přes řízený Appstore. Protože Pokémon GO bylo velmi populární a nebylo dostupné všude na světě, mnoho lidí si ho na Android stahovalo odjinud. Stáhli si to z neoficiální stránky a ručně to nahráli do telefonu. Existovalo mnoho verzí nacpaných malwarem, které vám chtěly ukrást heslo, či cokoliv jiného v telefonu.
Zadruhé, lidská potřeba soukromí často neodpovídá realitě. Klademe důraz na snadno pochopitelné děsivé příběhy a ne na skutečné hrozby. Proto dělám video o Pokémon GO, proboha. Děsivý příběh o nevinné hře, kterou hrají miliony lidí, a mají k ní vztah? Co když je zlá a čte vaše emaily? Na to lidé kliknou. Ale že ta samá hra sleduje pohyb milionů lidí a jejich sociální sítě a že je spravována malou společností, která je cílem hackerů, vyděračů a vlád, které by rády tyto informace znaly...
To je nudné a abstraktní. Víme to, ale vám se to nikdy nestane, že ano? Já jsem pro to, aby se každý u konspirací zamyslel. Nikdy nepřikládejte zlé úmysly tomu, co může být vysvětleno jako chyba. Ne, hra nebyla vytvořena k tomu, aby četla vaše emaily. Pár vývojářů ve spěchu udělalo chybu.
Doufejme, že se do zpravodajství nedostanou žádné další chyby. A vy můžete chytat tyhle věci. Překlad: Mithril www.videacesky.cz
Komentáře (0)