l+f: Pokemon-Schnüffler ausgesperrt

Mit Certificate Pinning wehrt sich Niantic gegen die Analyse der Spieldaten.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.

Vor einigen Tagen tauchte eine Anleitung auf, wie man sich als Man-in-the-Middle in die SSL-gesicherte Verbindung der Pokemon-Go-App zu ihrem Server einklinkt. Zweck der Übung war es, die vom Server gesendeten, versteckten Eigenschaftswerte der Pokemon – die sogenannten IVs – aus dem Datenstrom zu extrahieren. Der pogo-optimizer automatisierte das sogar weitgehend. Niantic reagierte ausnahmsweise prompt und hat für die aktuellen Versionen Certificate Pinning aktiviert.

Das verhindert, dass ein SSL-Proxy sich mit einem anderen als dem vom Hersteller vorgegebenen Zertifikat ausweist. Wer jetzt noch via Netzwerk-Sniffing an die IVs ran will, müsste den in der App gespeicherten Fingerprint des Niantic-Zertifikats ändern (nein, das ist keine Empfehlung!). Ansonsten bleibt natürlich immer noch das Eintippen der Pokemon-Eigenschaften in einen der zahlreichen IV-Calculators.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security

(ju)