Pokémon GO nemůže číst vaše e-mailyTom Scott
5
Kolem Pokémon GO se objevila jedna teorie o tom, že vývojáři mohou číst vaše e-maily na účtu Google. Jaká je ale pravda? A byl to úmysl nebo ne?
Odkaz zmíněný ve videu: https://gist.github.com/arirubinstein/fd5453537436a8757266f908c3e41538
Přepis titulků
Nemám práva k tomu, abych ve videu použil skutečné obrázky Pokémonů. Ale mé několikaminutové mluvení na kameru není zrovna zajímavé, proto jsem požádal svého přítele Simona, aby mi vytvořil uvěřitelné, ale neexistují Pokémony. To půjde. Tento týden Pokémon GO vyvolalo obavy o soukromí. Někdo řekl, že vývojáři hry mohou číst vaše emaily. Někdo jiný tvrdil, že nemohou.
To bylo podloženo prozkoumáním aplikace. Nakonec se všichni shodli, že je to technicky možné, ale vyžadovalo by to hodně snahy. Navíc to bylo výsledkem chyby, ne ďábelské snahy ukrást vaše data. Problémem byla povolení. Když uvidíte tlačítka jako Přihlásit přes Google nebo Přihlásit přes Facebook... Pardon... Nebo Přihlásit přes Twitter, používáte takzvaný OAuth.
Funguje to takto. Řeknete aplikaci, že se chcete přihlásit přes Google, a ta vás pošle ke Googlu. Google zkontroluje vaše přihlašovací jméno a heslo, trochu zakouzlí s vaším telefonem a pokud je spokojený, pošle vás zpět do aplikace společně s tokenem. Aplikace vezme token a dokud jí to nezakážete, může ho používat k přístupu k účtu, aniž by znala vaše heslo a aniž byste se toho museli účastnit. Je to trochu komplikovanější, což každý, kdo někdy navrhoval aplikaci, ví.
Ale tohle je dostatečně názorné. Teď ta zajímavá část. Ten token může mít přístup k celému účtu, ale také může být vytvořen tak, aby měl pouze omezená povolení. Možná může číst pouze vaše záznamy v kalendáři, možná může pouze přidávat komentáře pod videa, která sledujete. U Pokémon GO měl ten token zjišťovat vaši emailovou adresu, ne cokoliv číst.
Mělo to potvrzovat vaši totožnost. Problémem bylo, že tomu tak nebylo. Pokémon GO vytváří společnost Niantic. Původně spadala pod Google a zřejmě tam stále má své kontakty. Nepoužívala systém povolení jako ostatní. Používala starý systém. Skrz jisté manuální zásahy se tento získaný token dal změnit na super-token, který útočníkovi zpřístupnil vše na vašem Google účtu. Včetně vašich emailů.
Tohle samozřejmě nedělali, ale mohli. A z toho důvodu u Pokémon GO bylo správně uvedeno, že aplikace má plný přístup k vašemu účtu. Nyní bych rád jmenoval Ariho Rubensteina. Vývojáře, který aplikaci zkoumal a dal dohromady zprávu o tom, o co jde. Pokud chcete vidět technické detaily, odkaz bude v popisu. Nejnovější verze Pokémon GO nemá tato povolení a vše je v pořádku. Vše je v pohodě.
Nebo ne? Tohle je hlubší problém, který nemůže být napraven opravením kódu. Nechápejte mě špatně, současné využívání tokenů je lepší než předchozí řešení. Pamatuji doby, kdy jste aplikacím třetích stran museli sdělit heslo na Twitter. Ta ho pak odeslala jako nezašifrovaný text. Současné řešení je lepší, ale ne dokonalé. Má dva hlavní problémy. Zaprvé, musíte té aplikaci věřit.
Musíte věřit tlačítku Přihlásit přes Google, že dělá to, co tvrdí. Musíte věřit, že když se aplikace dotazuje na Google heslo, je to okno přímo od Google, a že ho aplikace jen nenapodobuje. Tenhle problém se netýká velkých aplikací stahovaných přes řízený Appstore. Protože Pokémon GO bylo velmi populární a nebylo dostupné všude na světě, mnoho lidí si ho na Android stahovalo odjinud. Stáhli si to z neoficiální stránky a ručně to nahráli do telefonu. Existovalo mnoho verzí nacpaných malwarem, které vám chtěly ukrást heslo, či cokoliv jiného v telefonu.
Zadruhé, lidská potřeba soukromí často neodpovídá realitě. Klademe důraz na snadno pochopitelné děsivé příběhy a ne na skutečné hrozby. Proto dělám video o Pokémon GO, proboha. Děsivý příběh o nevinné hře, kterou hrají miliony lidí, a mají k ní vztah? Co když je zlá a čte vaše emaily? Na to lidé kliknou. Ale že ta samá hra sleduje pohyb milionů lidí a jejich sociální sítě a že je spravována malou společností, která je cílem hackerů, vyděračů a vlád, které by rády tyto informace znaly...
To je nudné a abstraktní. Víme to, ale vám se to nikdy nestane, že ano? Já jsem pro to, aby se každý u konspirací zamyslel. Nikdy nepřikládejte zlé úmysly tomu, co může být vysvětleno jako chyba. Ne, hra nebyla vytvořena k tomu, aby četla vaše emaily. Pár vývojářů ve spěchu udělalo chybu.
Doufejme, že se do zpravodajství nedostanou žádné další chyby. A vy můžete chytat tyhle věci. Překlad: Mithril www.videacesky.cz
To bylo podloženo prozkoumáním aplikace. Nakonec se všichni shodli, že je to technicky možné, ale vyžadovalo by to hodně snahy. Navíc to bylo výsledkem chyby, ne ďábelské snahy ukrást vaše data. Problémem byla povolení. Když uvidíte tlačítka jako Přihlásit přes Google nebo Přihlásit přes Facebook... Pardon... Nebo Přihlásit přes Twitter, používáte takzvaný OAuth.
Funguje to takto. Řeknete aplikaci, že se chcete přihlásit přes Google, a ta vás pošle ke Googlu. Google zkontroluje vaše přihlašovací jméno a heslo, trochu zakouzlí s vaším telefonem a pokud je spokojený, pošle vás zpět do aplikace společně s tokenem. Aplikace vezme token a dokud jí to nezakážete, může ho používat k přístupu k účtu, aniž by znala vaše heslo a aniž byste se toho museli účastnit. Je to trochu komplikovanější, což každý, kdo někdy navrhoval aplikaci, ví.
Ale tohle je dostatečně názorné. Teď ta zajímavá část. Ten token může mít přístup k celému účtu, ale také může být vytvořen tak, aby měl pouze omezená povolení. Možná může číst pouze vaše záznamy v kalendáři, možná může pouze přidávat komentáře pod videa, která sledujete. U Pokémon GO měl ten token zjišťovat vaši emailovou adresu, ne cokoliv číst.
Mělo to potvrzovat vaši totožnost. Problémem bylo, že tomu tak nebylo. Pokémon GO vytváří společnost Niantic. Původně spadala pod Google a zřejmě tam stále má své kontakty. Nepoužívala systém povolení jako ostatní. Používala starý systém. Skrz jisté manuální zásahy se tento získaný token dal změnit na super-token, který útočníkovi zpřístupnil vše na vašem Google účtu. Včetně vašich emailů.
Tohle samozřejmě nedělali, ale mohli. A z toho důvodu u Pokémon GO bylo správně uvedeno, že aplikace má plný přístup k vašemu účtu. Nyní bych rád jmenoval Ariho Rubensteina. Vývojáře, který aplikaci zkoumal a dal dohromady zprávu o tom, o co jde. Pokud chcete vidět technické detaily, odkaz bude v popisu. Nejnovější verze Pokémon GO nemá tato povolení a vše je v pořádku. Vše je v pohodě.
Nebo ne? Tohle je hlubší problém, který nemůže být napraven opravením kódu. Nechápejte mě špatně, současné využívání tokenů je lepší než předchozí řešení. Pamatuji doby, kdy jste aplikacím třetích stran museli sdělit heslo na Twitter. Ta ho pak odeslala jako nezašifrovaný text. Současné řešení je lepší, ale ne dokonalé. Má dva hlavní problémy. Zaprvé, musíte té aplikaci věřit.
Musíte věřit tlačítku Přihlásit přes Google, že dělá to, co tvrdí. Musíte věřit, že když se aplikace dotazuje na Google heslo, je to okno přímo od Google, a že ho aplikace jen nenapodobuje. Tenhle problém se netýká velkých aplikací stahovaných přes řízený Appstore. Protože Pokémon GO bylo velmi populární a nebylo dostupné všude na světě, mnoho lidí si ho na Android stahovalo odjinud. Stáhli si to z neoficiální stránky a ručně to nahráli do telefonu. Existovalo mnoho verzí nacpaných malwarem, které vám chtěly ukrást heslo, či cokoliv jiného v telefonu.
Zadruhé, lidská potřeba soukromí často neodpovídá realitě. Klademe důraz na snadno pochopitelné děsivé příběhy a ne na skutečné hrozby. Proto dělám video o Pokémon GO, proboha. Děsivý příběh o nevinné hře, kterou hrají miliony lidí, a mají k ní vztah? Co když je zlá a čte vaše emaily? Na to lidé kliknou. Ale že ta samá hra sleduje pohyb milionů lidí a jejich sociální sítě a že je spravována malou společností, která je cílem hackerů, vyděračů a vlád, které by rády tyto informace znaly...
To je nudné a abstraktní. Víme to, ale vám se to nikdy nestane, že ano? Já jsem pro to, aby se každý u konspirací zamyslel. Nikdy nepřikládejte zlé úmysly tomu, co může být vysvětleno jako chyba. Ne, hra nebyla vytvořena k tomu, aby četla vaše emaily. Pár vývojářů ve spěchu udělalo chybu.
Doufejme, že se do zpravodajství nedostanou žádné další chyby. A vy můžete chytat tyhle věci. Překlad: Mithril www.videacesky.cz
Komentáře (24)
Retyus (anonym)Odpovědět
21.07.2016 16:05:12
Vidím jak jsou tady lidi chytří a znalí. Tak vám něcok tomu řeknu. Před pár lety společnost Niantic přišla s hrou zvanou Ingress. Svět rozdělila na 2 tábory a lidi měli za úkol obsazovat místa na mapě svou barvou a bránit je a spojovat do trojuhelníků a za to byli body. Samozřejmě vše přes telefon, GPS a data. Body vznikaly tak že samotní hráči vyfotili nějaký zajímavý bod ve svém okolí(fontánu, sochu, starý barák, prostě něco zajímavého) a spolu s GPS to poslali Nianticu. Ti schválili/neschválili body. Na tomhle základu map postavili Pokémon Go a ty body předělali na Pokéstopy a Gymy. Ne všechny. No a tyto body jsou prsotě po celé čr a i v blbých místech. Jo a další body už není možné vytvářet
Grg (anonym)Odpovědět
21.07.2016 17:47:27
Takže když byl jeden pokémon stop v bordelu, tak to znamená, že ho někdo v ingress vyfotil a někdo v nianticu ho schválili jako "zajímavé místo"? :D
Retyus (anonym)Odpovědět
21.07.2016 18:24:54
+GrgPřesně tak. Ta fotka pokéstopu je stejná jak v Igressu. Ono existuje i mapa Ingress bodů a vytvořených polí v prohlížeči. Vím že i existuje prohlížečové rozšířění pro pokémony. Lze tam i zjistit kdo udělal tu fotku
ToomicekOdpovědět
22.07.2016 08:51:51
+RetyusTa mapa ingressu je pro pokemony zbytečná, portálů je mnohem ale mnohem víc :) U nás je třeba pokéstop na místě v areálu továrny, takže se tam nedostaneš (legálně). Zajímalo by mě jak se rozhodovali který portál dají do pokemonu :)
.... (anonym)Odpovědět
22.07.2016 09:40:24
+Toomicekhaha u nás je v areály kostola :D
Zdenko Lenin PoliačekOdpovědět
03.08.2016 08:35:06
+....u nás zasa na cintoríne,teda som počil ja som verný tlačitkový mobilový fanatik nie smartfonista :)
desmo69Odpovědět
21.07.2016 10:00:12
Levibollock :D Výborný název pro toho "pokémona". Jinak šílenství kolem té hry nezná mezí. Poprvé jsem o ní slyšel minulý týden v rádiu a najednou se mě zdá že to hraje snad i můj pes. Před cca 15ti lety, nebo kdy byla ta mánie, každej sbíral kartičky/žetony, už nevím co to bylo, a teď zas v telefonu...
Mike56 (anonym)Odpovědět
21.07.2016 01:29:40
No, a sám má v gatích, když to radši nehraje a ukazuje jakoby pokémony. :D
Lexa (anonym)Odpovědět
21.07.2016 17:48:49
Neukazuje to, protože nemá autorská práva na to to ukazovat a stále si nechávat proplatit to video na youtube :D
Mike56 (anonym)Odpovědět
21.07.2016 19:19:12
+LexaJežiš ještě žes mi to vysvětlil, to bych netušil. Zkus popřemýšlet, proč jsem koment zakončil smajlíkem.
hmm (anonym)Odpovědět
21.07.2016 23:53:50
+Mike56vtipálek....
Mike56 (anonym)Odpovědět
25.07.2016 15:49:36
+Mike56Protože cpou náctiletí smajlíky za každou větou ?
Nebo sis myslel, jak děsně vtipnej budeš ?
Nebo si zkoušel ironii, která nevyšla ?
Poraď.
efg (anonym)Odpovědět
20.07.2016 18:43:14
Hra to niekto ?
Je to zabava chodit po meste a chytat ich ? :D
NoName115 (anonym)Odpovědět
21.07.2016 08:51:43
Áno je, a hlavne nikdy by ma nenapadlo sa prechadzat po meste 2 hodiny v kuse a teraz tam idem s radostou. Stretol som aj inych ludi ktory to hraju, pokecali sme. Ano je to zabava.
OsmiumOdpovědět
20.07.2016 18:23:40
Výborné video, víc takových. :-)
Ty nudné věci, o kterých mluvil, jak společnost má k dispozici lokační data milionů lidí a jak to chtějí vlády, korporace a hackeři, to je to, co by mě zajímalo snad i víc. :-D Nepřijde mi to vůbec jako nudné.
Když jsem se poprvé dozvěděl o téhle hře a o tom, jak funguje, tak jsem si říkal, že přesně tohle se prostě musí stát. Oblíbená hra založená mimo jiné na tom, že jdete ven? Recept na problémy. Nejen to, co Tom říkal, ale co kdyby někdo upravil jisté lokace na něco méně bezpečného? A počkal si tam na pár lidí? Vzhledem k tomu, že s lokací ví i mail… :-) Recept na problémy.
BullOverOdpovědět
20.07.2016 18:48:16
Recept na problémy... problém je, že je to spojený se všim... kdyby to byla samostatná věc, kde si člověk udělát novej acc a nemá tam nic jinýho, než to co tam zadá (= jediný info to co tam sám napíše + gps), tak by to bylo ok... ale když je to propojený s milionem dalších věcí, tak se ty problémy najdou rychle.
Ale krom toho je to úžasná věc... sice to nehraju, ale rozhodně velkej + (ano, je tam hodně chyb, ale je to na začátku... snad to dotahnou).
OsmiumOdpovědět
20.07.2016 18:50:33
+BullOverTo jo, no. Spousta věcí je zneužitelná. Přijde mi ale, že některé prostě…stojí nad ostatními. Tohle je jedna z těch věcí.
Už teď slýchám příběhy o lidech, co tohle hráli při řízení auta, způsobili nehodu, nebo co zablokovali provoz, protože něco bylo na silnici. Kvůli tomu to za úžasnou věc nepovažuji. Na druhou stranu, je fakt, že lidi a jejich idiotský chování jsou ten problém. Ne ta hra.
BullOverOdpovědět
20.07.2016 19:30:23
+OsmiumA co lidi co telefonujou/píšou? Prostě nedávaj pozor... už je úplně jedno, co na tom mobllu dělaj.
Ale je fakt, že by to mohli propojit s google maps (což vlastně je) a "zakázat" pokémony do určitej vzdálenosti od silnic... pokémoni se bojej aut = nejdou blíž jak 5 metrů k silnici.
Martin 487 (anonym)Odpovědět
22.07.2016 19:30:13
+BullOverJá bych spíš udělal to, že jakmile se pohybujete výší rychlostí než třeba 20 km/h tak by se ta hra měla vypnout, nebo aspoň neukazovat tam žádné pokemony.
BullOverOdpovědět
22.07.2016 20:39:56
+Martin 487To neřeší chodce...
komunardOdpovědět
20.07.2016 19:33:26
+OsmiumPokud někdo hraje hru při řízení auta, tak je nebetyčný ?***k/nebetyčná p**a, a my ostatní můžeme jen doufat, že s sebou nevezme nikoho dalšího. Na druhou stranu, takový člověk by nejspíš začal dělat během řízení absolutně cokoli. Hra za to nemůže.
Basho (anonym)Odpovědět
20.07.2016 16:28:17
Je zpátky. A víc videí lidí jako TOm Scott nebo Michael z Vsauce. To jejich nadšení pro vědu a techniku je nakažlivé.
Člověk (anonym)Odpovědět
20.07.2016 17:18:45
Souhlas, konečně nějaké přínosné video po dlouhé době.
AlennOdpovědět
20.07.2016 20:41:50
Numberfile