黄色い蛇足@日立柏酒場裏

黄色い蛇足を龍と言い張るのは、いかがなものか? なお、進化経緯から言えば、もともとあった四肢が退化したのが蛇。

TOPIC

すべて表示

【重要】ポケモンGoの個体値評価アプリIV Goは、Google IDとパスワードを詐取する仕組みを持っている。

 もともと、IV Goは、Andoroid OSの設定では、セキュリティの項目で「提供元不明のアプリのインストールを『許可する」を一時的にでもチェックしないとインストール出来ない代物であった筈で、新ストールする前に、もしくはインストール後にでも、その危険性を認識した上で行動して欲しい。インストール後は、新しいGoogle Accountを作成し、従来のGoogle Accountは削除してしまうのが、一番の対策。が、盗み取られたデータがある可能性も大なので、他のサイトへのIDやパスワードがある場合は、変更しておく事が求められる。私は、IV Goの便利さに変わるものを見付けられずにいるので、弥縫策だけで対応している。Google Accountのパスワードを変更し、今まで行っていなかった2段階認証を設定し、他のサイトへのIDやパスワードをGoogle Accountに保存しておいたものは、少なくともパスワードは変更した(IDも変更出来るものは変更した)。もともと、PCメールの同期などは行っていなかったので、この程度の変更で済んでいるが、それでも結構大変な作業だった。


<内容の枢要>

 IV Goは、使用開始時に、Google ID(Google account)と そのパスワードの入力を要求する。が、このデータは、Google IDとの接続(Google IDの認証自体を使ってのGoogle IDの使用)ではなく、IV Goの仕組みの内部(IVの管理下にある端末やサーバ。IV Goの英文ヘルプだと、このデータは暗号化され、ユーザ自らの端末に保管される、と主張する)にデータを保持する。

 故に、悪用やデータの販売を意図するのなら、収集したGoogle IDとパスワードのセットは、そのまま有効なデータとなる。Google IDの乗っ取りも直ぐにでも可能な仕組みとなっている。

 かつ、IV Goの管理運営者は、データを一部流用している事が確認出来る(後述の迷惑メール)ので、悪意を以て詐取しているものと考えられる。また、IV Goと同様のアプリを別名でもPlay Store上に掲載しており、偽装の意図ありあり。

  PCのサイトの場合も、ウェブで表示しているのは間違い無くgoogleのサイトなのだが、それを経由して得られた暗号化された文字列をIV Goのサイトに貼る様求められる。この暗号化した文字列は、単に、IV Go側の暗号鍵によって積算された結果でしかなく、IV Goの持つ暗号鍵によって容易に(割り算の結果として)、元のIDとパスワードに復元出来る。


<上記の事実の確認の手順>

IV Goのversionに拠って異なるかも知れないが、以下の2つ、もしくは3つの事実から確認出来る。

(1) 記憶に基づくしかないが、IV Goの使用開始時にGoogle IDの入力を求められたか、否か。

 iPhoneの通常のGoogle系IDの認証方法は知らないが、Android端末では、通常、Google IDの必要な場合、Google IDと記載されたボタンを押せば済む。Google Payの絡むときは、Google IDの表示が既にあり、そこにパスワードの入力を行う事になる。

 が、IV Goは、私の場合、IV Goの「一覧表示の」使用開始時に、Google IDとパスワードの入力を求められた。この入力画面は、あたかもGoogleのものであるかの様に装っている(2017年5月17日にIV Goをアンインストールの上、再度インストールし、確認済み)。偽装している。

(2)Google accountで、「アカウントへ接続しているアプリ」の一覧を表示させたとき、その中にIV Goは表示されない。同じ事を別の箇所で検証するならば、設定>アプリで、IV Goの権限を見ると、「アカウントの追加と削除」が権限として表示されず、その中の「この機器上のアカウントの検索」「この機器上のアカウントの使用」が表示されていない。

 ここで言う「Google IDの接続」とは、Google ID側の認証を使っている事を意味する。が、ここにIV Goは表示されない(常に、そう)。

 → Google IDのパスワードを変更した後も、ポケモンGo上でポケモンのニックネームを変更すると、それがIV Goにも反映される(但し、一度IV Goを終了し、再度起動する事が必要。その際に、データがロードされる)。この仕組みは、Google IDと接続していない状況では、詳細不明。ポケモンGoとIV Goが別端末であっても、同期は生じるが、GoogleIDのパスワード変更ががPlay Storeの認証にタイムラグがあった際に、IV Goも同様に認証を拒まれた事から、傍受しているとするならば、Play Storeの可能性が高い。この場合、同一IDでのポケモンGoサーバへのログインを行う事になり、サーバ負荷を増加させる事から、規約違反になり、BANされる(ポケモン・サーバへのログイン停止)可能性も出て来る。

(3)Google accountで、端末(「端末のアクティビティと通知」>「最近使用した端末」)を表示されたとき、自らの使用していない端末(もしくは、同じ種類の端末でも数が多く)表示される。

 https://blogs.yahoo.co.jp/ubiquitous_budda/64629429.html の上の画像の様な表示

(4)IV Goの使用開始から間も無い時期なら、「最近のセキュリティイベント」にIV Goの使用開始から間を措(お)かず、(3)の見馴れない端末からのログインが確認出来る。

 https://blogs.yahoo.co.jp/ubiquitous_budda/64629429.html の下の画像の様な表示


<危険性の内容>

(1)私の場合、IV GoをSONY Xperia Z2 Tabletで起動したタイミングで、スマホに迷惑メールが送られて来る(従来の対策で、従来の方法で送られてくるものは、ほぼ阻止しているので、これが目立つ訳)。これは、Google IDに侵入し、同期することによってGoogle accountの内容を盗み取ったとも考えられるが、別の可能性としては、Google IDとパスワードを入力させたタイミングで、その入力フォームを使って(スマホのprofile似『登録された電話番号やメルアドへのアクセスは、api=application interfaceとして接続口がAndroid OSから提供されているので、こんなフォームを作るのは容易であり、私だって可能)スマホのメルアドを同時に送信した(盗み取った)て可能性もある。

 いずれにしろ、IV Go管理者が、全くの盗用の意図無く、このアプリを作成し管理しているのではない事が、ここから判明する。

 なお、迷惑メールの内容は、従来送られて来ていたものと同様である(同パターンである)事から、IV Goの運営管理者は、自らデータを運用するのではなく、データを他の者に販売したと推量出来る。が、そう考えると、迷惑メールの送信タイミングがIV Goの起動と連動している事と整合性が採れない。もしかしたら、迷惑メールの送信者がIV Goの運営管理の権限を購入して、無料で配布しているのかも知れない。

(2)私の場合、上記のものを除き、直接の被害は未確認。私の場合、同期が2017年4月25日に行われているものも、「同期」の内容が不明ではあるものの、私がSONY Xperia Z2 TabletでIV Goをインストールし、初めて使った日と一致する事から、きっと、この内容の同期であると推測出来る。

 まるまるデータを不正アクセス端末(私の場合は、LG Nusxus 5)内部に盗み取ったと断言出来る訳ではない。

(3)が、IV GoがGoogle IDに接続する(=Google IDの認証の仕組みを経由する)訳でなく)、独自にポケモンGoにアクセスし、データを得ている事から、上記の「内容の枢要」の後段でも書いた様に、そこから色んなデータを取得し、悪用する事も可能だし、販売しても、直ぐに買い手が付く状況にある。自ら悪用も可能ではある。

 IV Go管理者に悪用の意図が無かったとしても、上述の様な仕組みである事から、IV Goの管理者やアプリを狙ったウィルスも、開発の利益が存在し、そうした手段でデータを盗用した上で悪用する場合もあり得る。


<追記>

(1)上記の様な状況なので、IV Goを起動したときに表示されるアプリもインストールするのは危険(google IDの入力を求められる際に同じ詐取のプロセスがある。


<当ブログ内での、この他のIV Go関連記事>

ポケモンGo個体値評価アプリIV Goの評価は、どこまで信用出来るのか?
https://blogs.yahoo.co.jp/ubiquitous_budda/64633147.html
(2017年5月10日UP)

その他の最新記事

すべて表示

 2007年7月16日、海の日に新潟県中越沖地震の第1震が発生しました。2017年7月16日、それから10年が経ちました。  でもって…私も、柏崎市の様子を隅々まで知ってる訳でもない(むしろ限られた部分しか知らない)ので…ヤフーの ...すべて表示すべて表示

〜〜 「その4」( https://blogs.yahoo.co.jp/ubiquitous_budda/64614003.html )から続く 〜〜 <今までの記事> その1(2016年7月22日=日本での配信開始日〜 ...すべて表示すべて表示

<私の評価:凡例>  各月の並び順は、私の中での評価の高い作品から、評価の低い作品へ。 S=素晴らしい A=まあ素晴らしい B=普通(B以下は、わざわざ見に行く価値無しのレベル) C=見に行くだけ金の無駄 ...すべて表示すべて表示


.


みんなの更新記事