Pokémon GO: Das konnten wir von dem Spiel lernen

Das Spiel des Jahres heißt Pokémon GO. Daran kann es eigentlich keinen Zweifel geben. Schließlich hat das Spiel im Sommer so ziemlich alle Rekorde bei Smartphone-Spielen gebrochen. Allein im ersten Monat hat das Spiel beispielsweise mehr als 200 Millionen US-Dollar eingenommen. Und auch wenn der Erfolg des Spiels etwas nachgelassen hat, wird es auch jetzt noch von Millionen gespielt.

Pokémon GO hält nun gleich fünf Weltrekorde im Guinness-Buch. Abgesehen davon hat das Spiel aber noch einige andere Sachen erreicht: Denn bei Pokémon GO handelt es sich um das erste Spiel, das die Augmented Reality in den Mainstream gebracht hat.

In diesem Kontext hat uns das Spiel auch einige Tatsachen vor Augen geführt, die so bisher keine große Beachtung fanden:

Datenschutz, Fake-Apps & Cheating

Bereits bei der Markteinführung des Spiels kam erste Kritik hinsichtlich des Datenschutzes auf. Denn wer sich auf seinem iPhone mit einem Google-Account anmeldete, gewährte dem Anbieter der App vollen Zugriff auf sein Konto. Der Anbieter konnte so unter anderem sämtliche E-Mails lesen oder getätigte Suchanfragen einsehen.

Spieleentwickler Niantic versicherte, keine der erweiterten Berechtigungen seiner Kunden (aus)genutzt zu haben, und veröffentlichte schnell eine neue iOS-Version der App. Ein anderes Sicherheitsproblem, das die Pokémon-Community auf Trab gehalten hat, waren gefälschte Versionen der Spiele-App, die die betroffen Geräte mit gefährlicher Malware verseucht haben und daraufhin sensible Daten absaugen konnten.

Für die Spieleindustrie weitaus geschäftsschädigender sind jedoch Hacker, die sich Zugang zu den Programmierschnittstellen (APIs) verschaffen, um so Schummeleien und Betrug im Spiel zu ermöglichen. Auch für Pokémon Go waren in kürzester Zeit diverse Cheats und Bots im Umlauf, die die Kommunikation zwischen dem Client und den Server-APIs fälschen und dem Spieler so unfaire Vorteile verschaffen.

Mit Hilfe gefälschter GPS-Daten können Spieler so zum Beispiel automatisch und ohne eigenen Input Pokéstops ablaufen, Pokémons fangen und damit letztlich effizienter leveln. Ein Problem, das mittlerweile so gut wie alle beliebten Online-Games und insbesondere Multiplayer-Rollenspiele betrifft und für die Industrie erhebliche Umsatzeinbußen, zum Beispiel durch das Ausbleiben von In-App-Käufen, nach sich zieht.

Pokémon GO (Bild: Niantic)

Pokémon GO (Bild: Niantic)

Um den unautorisierten Zugang zu seinen Servern einzudämmen, hat Hersteller Niantic immer wieder Updates veröffentlicht, was sich jedoch letztlich als Sisyphusarbeit herausstellte. Denn meist dauerte es nur wenige Tage bis die Hacker die neuen Sicherheitskontrollen erneut überwinden konnten und dabei auch komplexe, krpytographische Hash-Funktionen identifizieren und zurückentwickeln konnten.

Sichere Schlüssel – sichere App

Beim Hacken einer Applikation konzentrieren sich die Angreifer vornehmlich auf die kryptographischen Keys, denn sie ermöglichen es, verschlüsselte Daten zu dechiffrieren und öffnen daher die Türe für vielfältige schädliche Aktivitäten. Auch die Kommunikation zwischen den Clients und den APIs der Spiele-Server werden über kryptographische Schlüssel kontrolliert.

Den Zugang regelt normalerweise ein kryptographisches Challenge-Response-Protokoll, das den mobilen Client dazu auffordert, öffentliches und geschütztes Schlüsselmaterial für jede asymmetrische Verschlüsselung bereit zu halten. Ist der Angreifer nun in der Lage, die Schlüssel zu dechiffrieren, kann er die Kommunikation manipulieren und illegaler Weise auf den Server zugreifen.

Wer seine Apps dauerhaft sicher und vertrauenswürdig halten möchte, darf auf zwei Sicherheitsmaßnahmen nicht verzichten: Cryptographic Key Protection sowie Binärcode-Verschleierung. Denn nur wenn der App-Code aktiv verschleiert wird, kann das unautorisierte Auslesen und Extrahieren sensibler Informationen verhindert werden.

Auch die Entfernung ungenutzten Programmcodes aus dem Binärcode oder die Abänderung leichtverständlicher Programmsymbolnamen erschwert einen Crack. Eine weitere effektive Sicherheitsmaßnahme, um Schlüssel auf nicht vertrauenswürdigen Geräten sicher zu halten, ist eine Technik namens White-Box-Kryptographie.

Dieser Ansatz kombiniert mathematischen Algorithmus mit Daten- und Code-Obfuscation-Techniken und verändert so den Schlüssel auf eine Art und Weise, dass er von Angreifern nicht mehr lokalisiert oder extrahiert werden kann. Darüber hinaus sollte jede Applikation auf Binärcode-Ebene mit mehrschichtigen und dynamischen Schutzmechanismen ausgestattet werden, die einen Laufzeit-Selbstschutz (RASP) ermöglichen.

Denn nur eine derart gehärtete App ist in der Lage, proaktiv und dynamisch ihre eigene Integrität zu wahren und Manipulationsversuche jeglicher Art selbstständig zu erkennen und abzuwehren – und zwar in Echtzeit, auf jedem Gerät und in jeder Umgebung.

Die (Un)Sicherheit der Pokémon Go-App wurde in den letzten Monaten heiß diskutiert. Tatsache ist aber, dass die große Mehrzahl an Applikationen teils massive und schwerwiegende Sicherheitslücken aufweisen. Vor allem in regulierten und sicherheitskritischen Bereichen wie dem Finanzwesen, dem Automotive-Sektor oder der Medizingeräteindustrie können solche Sicherheitslücken ungeahnte und teils lebensbedrohliche Folgen nach sich ziehen.

Entwickler, die an der nächsten Erfolgs-App basteln, sei es im Gaming-Umfeld oder sonst wo, sollten sich die Sicherheitsprobleme von Pokémon Go daher zu Herzen nehmen und die Sicherheit ihrer Kunden, ihres geistigen Eigentums und ihrer Reputation von Anfang an im Blick haben.

[Mit Material von Mirko Brandner, Silicon.de]

Neueste Kommentare 

Noch keine Kommentare zu Pokémon GO: Das konnten wir von dem Spiel lernen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *