Игра Pokémon Go стала грандиозными хитом — она приносит по $10 млн в день, ее установили более 100 млн раз. Такая популярность привлекла и любителей взлома — выяснилось, что обмануть игру и ловить покемонов, не выходя из дома, можно с помощью техники GPS Spoofing.
Как это работает
Суть игры заключается в том, что человек перемещается по городу и ищет сказочных существ — покемонов. Игроки могут вызывать покемонов на поединки и ловить в случае победы. Кроме того, покемонов можно выращивать из яиц, для чего придется не ловить их, а пешком перемещаться по городу на определенное расстояние (от двух до десяти километров). Поимка и выращивание покемонов позволяет игрокам увеличивать свой уровень — это открывает возможность для ловли более сильных монстров и получения еще больших наград.
Соответственно, использование GPS критически важно для данной игры. Приложение должно понимать, где находится игрок, чтобы отображать информацию о доступных для поимки покемонов.
Использование GPS Spoofing позволяет обмануть игровое приложение — программу нужно убедить в том, что человек перемещается по городу, в то время как он на самом деле не двигается. В сети уже опубликованы видео, в которых рассказывается, как можно обмануть приложение Pokémon Go для iPhone. Единственный минус — тому, кто захочет сжульничать в игре, придется провести процедуру джейлбрейка для своего смартфона.
Кроме того, существуют руководства о том, как обмануть приложение для Android. Суть мошенничества не меняется — с помощью специального инструмента для подделывания GPS-координат, игрок может «перемещаться» по карте, задавая новые координаты. При этом на самом деле можно даже не вставать с дивана.
Как избежать бана
Разработчики игры активно блокируют пользователей, которые нарушают правила использования сервиса и обманывают приложение. Хотя до сих пор точно неизвестно, как система отслеживает использование GPS спуфинга. Тем не менее, сообщество игроков уже выработало некоторые рекомендации, которые позволяют снизить вероятность бана.
В частности, при использовании техники рекомендуется не применять ее слишком явно — не менять координаты очень часто и на значительном расстоянии от прошлой точки или домашнего региона пользователя (путешествия из Австралии в Японию в течение часа точно приведут к блокировке).
Кроме того, даже при перемещениях в рамках одного города пользователи соблюдают осторожность — например, после смены координат на дальний район, игрок может выключить приложение и запустить его через час. В таком случае будет очень похоже, что человек просто проехал в нужное место на транспорте.
Не только покемоны
Для обмана Pokémon Go используют не только программы-«обманки», но и реальный спуфинг GPS на уровне радиоэфира. Правда, понадобится специальная аппаратура для подавления настоящего GPS-сигнала и замену его на «фальшивый спутник»:
Обмануть GPS можно и проще, чем в этом ролике — с помощью распространенной SDR под названием HackRF. Однако авторы метода честно предупреждают, что во многих странах запрещены передачи на частотах, которые использует «глушилка» HackRF.
Здесь самое время вспомнить о том, что системы глобального позиционирования применяются не только для игр. Сейчас GPS- или ГЛОНАСС-приемник есть почти в каждом смартфоне, они активно используются в навигаторах и транспортных системах. Кроме того, такое оборудование устанавливается на многих устройствах, которые никуда не двигаются (например, на банкоматах). При этом уровень доверия к спутниковым сигналам стремится к 100%. Это значит, что взлом GPS открывает масштабные возможности по проведению самых разных атак.
О том, к чему может привести эксплуатация уязвимостей систем глобального позиционирования GPS и ГЛОНАСС, можно послушать 8 сентября в 14:00 на бесплатном вебинаре Павла Новикова, эксперта по безопасности телекоммуникационных систем компании Positive Technologies.
Зарегистрироваться для участия в вебинаре можно здесь: www.ptsecurity.ru/research/webinar/96979/