Avrete sentito parlare di Pokémon Go, un recente gioco mobile per iOS e Android, rilasciato qualche giorno fa negli Stati Uniti. Si tratta di un progetto interessante, che mixa realtà aumentata e riproduzioni digitali per catturare i personaggi della serie in giro per il mondo reale. Il 15 luglio l’app sarà disponibile ovunque, Italia compresa. L’interesse delle ultime ore intorno al progetto è giustificato: sono già milioni le persone che lo hanno scaricato gratis, facendolo diventare il titolo con più download della storia e portando Nintendo, detentrice dei diritti sul marchio, a ottenere un balzo del titolo in borsa, tale da farle raggiungere il punto più alto dal 1983, praticamente preistoria.
Ma si sa, quando un trend del genere colpisce una fetta di utenti praticamente indefinita, come quelli con uno smartphone e un tablet, i rischi sono dietro l’angolo. Già nei giorni scorsi la polizia statunitense ha dovuto comunicare l’esistenza di gruppi di ragazzi armati che attirano i giocatori di Pokémon Go in posti deserti, per derubarli dei loro averi. Ma anche sulle vie del digitale le cose non vanno meglio. Le compagnie di sicurezza informatica hanno infatti scovato in rete un file .apk, utile per installare il gioco su Android prima dell’uscita, modificato e contenente il virus DroidJack, conosciuto anche come SandroRAT. A differenza del file genuino, che chiede l’accesso a microfono, chiamate, contatti, localizzazione, sms e sms, quello maligno vuole leggere anche la cronologia di ricerca, i preferiti, le impostazioni del Wi-Fi e l’avvio automatico.
Se in quel caso si tratta di una vera minaccia creata ad-hoc, il panorama dinanzi al quale si sono ritrovati i possessori di un iPhone è ugualmente preoccupante, anche se non dipendente da hacker o cybercriminali. Chi ha cominciato a giocare a Pokémon Go sul melafonino si è infatti accorto della necessità, in fase di logging con account Google, di accettare la lettura dell’app di una serie di informazioni che vanno oltre la mera esperienza videoludica. L’avviso che lascia sconcertati è quello che mostra “consenti il pieno accesso all’account Google” quando appunto si decide di entrare con il profilo di Big G piuttosto che crearne uno da zero. Il pieno accesso a tali informazioni potrebbe voler dire anche la lettura delle converazioni di Gmail, i log di chat di Hangouts, la cronologia di Chrome e di YouTube. Perché tutto ciò? In realtà, pare che dietro ci sia solo un bug secondario che visualizza il messaggio precendente ma senza dotare di super-poteri Niantic, la compagnia dietro il titolo. Per questo, è già stato avviato un rollout di aggiornamento con cui i permessi concessi dopo l’ingresso con account Google verranno ridotti alla sola verifica dell’indirizzo email e dell’user ID usato per il gioco.