Pokémon GO heeft één van de grootste rages van de jaren negentig teruggetoverd en veranderd in de populairste augmented reality-game tot nu toe. Het spel is gratis te downloaden voor Android of iOS en het maakt gebruikt van de gps-functionaliteit en de klok van het device om uit te vinden wanneer en waar de gebruiker aan het spel meedoet.
Het is ongetwijfeld een enorm goed doordacht concept, dat persoonlijke interactiviteit combineert met een bestaand, immens populair spel en dito figuren. Het is dus niet gek dat Pokémon Go pijlsnel naar de top van de app-downloadlijsten steeg, binnen vijf uur na zijn release. Na één week was het spel al op 7,5 miljoen devices geïnstalleerd en daarmee is het meteen populairder dan dating-app Tinder.
Maar, tijdens hun ‘Vang ze allemaal’-missie kunnen Pokémon GO-gebruikers onbedoeld worden blootgesteld aan een reeks beveiligingsrisico’s en cyberbedreigingen. Zelfs voor wie geen kennis over of interesse in het spel heeft, of misschien júist, kan het veel impact hebben op de informatiebeveiliging van zijn onderneming.
Is het echt?
Of een ontzettend populaire app daadwerkelijk een bedreiging vormt, hangt af van de legitimiteit van de download. Pokémon GO was in eerste instantie in een beperkt aantal landen beschikbaar. Vandaar dat enthousiastelingen zicht tot inofficiële app-stores en -downloadwebsites hebben gewend. Hierdoor is de kans op infectie door het spel flink toegenomen.
Cybercriminelen hadden maar vier dagen nodig om misbruik te maken van de grote vraag naar het spel door Pokémon GO opnieuw in elkaar te zetten en in te pakken, inclusief ingebedde malware: DroidJack. Deze richt zich specifiek op Android-gebruikers. Eenmaal geïnstalleerd kan DroidJack bij alles op een device, zoals e-mail, contacten, foto’s, video’s en sms.
De malware kan de aanvallers op afstand controle geven over de camera en microfoon van het apparaat, zodat ze ongemerkt opnames kunnen maken. Het mag duidelijk zijn dat, als de telefoon ook bedrijfsgegevens bevat of ze slechts sporadisch benadert, er een groot probleem is.
Uw data vangen
Evengoed wordt Pokémon GO zo snel mogelijk uitgerold. Je zou kunnen veronderstellen dat, zolang gebruikers de officiële versie downloaden, er niets aan de hand is. Alleen is dat niet het geval, het veiligheidsrisico blijft. Om te weten hoe dat kan is het belangrijk te zien hoe Pokémon GO werkt.
Eenmaal geïnstalleerd op een smartphone verschaft de app zich toegang tot de gps van de telefoon, de camera en de klok om via Google de locatiedata te vinden. Cruciaal is dat de app nauwe banden heeft met de zoekmachinegigant; spelers moeten zich aanmelden met een Google-account en de ontwikkelaar van het spel is eigendom van Google.
Zodoende geven de gebruikers in essentie de legitieme Pokémon GO-app toestemming hun Gmail, agenda’s, foto’s en dergelijke te benaderen. De app is in de basis ontworpen om de verblijfplaats en het gedrag van zijn gebruikers in kaart te brengen. Terwijl ze hun aandacht richten op het vangen van Pokémon, kan de app ongemerkt allerlei gevoelige data van het apparaat halen. Is dat informatie die u bereid bent te delen met mensen buiten uw organisatie?
Maar ík speel niet!
Zelfs als je totaal niet van plan bent Pokémon GO te downloaden en te spelen, bestaat de kans dat enkele medewerkers – of wellicht één van hun kinderen – er wél aan meedoen. Anders gezegd is het vrijwel zeker dat het spel ooit is of wordt gedownload in het mobiele domein van een bedrijf.
De enorme populariteit van Pokémon GO doet vermoeden dat dit pas de eerste van vele augmented reality-games voor smartphones is die uitgaat van toegang tot locatiedata, beelden en andere informatie op uw apparaat. Dit issue zal dus alleen maar groter worden.
Dit betekent dat het nu, meer dan ooit, van levensbelang is dat ondernemingen een mobiele-beveiligingsstrategie ontwikkelen en implementeren voor álle devices binnen hun organisatie. Mobile device management (mdm) is géén complete oplossing op zich; er zijn producten die malware of kwaadwillende activiteiten niet kunnen ontdekken.
De beste aanpak tegen malware en gerelateerde aanvallen bestaat uit beveiliging die werkt mét mdm en die verdachte apps al in de cloud inspecteert en ze in quarantaine plaatst vóór ze op het apparaat worden gedownload met behulp van gerenommeerde mobile threat prevention (mtp). Op deze manier kan een bedreiging worden geneutraliseerd voordat hij kan toeslaan. Ook een doelgerichte medewerkerstraining en corporate richtlijnen zijn het overwegen waard.
‘Vang ze allemaal!’ dendert vooralsnog door – zorg er ondertussen voor dat uw business in het proces niet de poort openzet voor écht gevaarlijke figuren.
Tja … wat riepen we een paar jaar geleden nog: BYOD is/wordt het helemaal.
Althans, ik mag er hopelijk wel van uit gaan dat medewerkers die een mobiel van de zaak krijgen, deze professioneel gebruiken en daar geen dingen als pokemon go op gaan installeren (laat staan spelen)
Van de andere aanpak (mdm) zou ik, indien ik mijn eigen device zakelijk gebruik, niet heel erg vrolijk worden. Als ik een app wil installeren is dat mijns inziens mijn keuze, en daar mag mdm mij als gebruiker niet in de weg zitten.
Vooralsnog blijf ik nog even bij mijn 2 toestellen; de manier om zakelijk en privé goed gescheiden te houden.
Ik sluit me aan bij Niels den Otter en PA VA KE. BOYD is al gauw Bring Your Own Disaster als je niet heel goed oppast. En dat is helaas niks nieuws; het was meer dan 30 jaar geleden geleden ook al zo. Toen werden vooral bootsector virussen verspreid doordat gebruikers privé computerspelletjes speelden in het ICT-domein van het bedrijf.
Nu zijn er weliswaar veel meer beveiligingsmiddelen en is er betere voorlichting voor de gebruikers, maar de gevaren zijn veel groter geworden en de bedreigers heel veel professioneler. De beste en meest eenvoudige en uiteindelijk goedkoopste oplossing is nog steeds het scheiden van werk- en privé.