API geknackt: Die Pokemon-Tracker sind zurück
Dieser Artikel ist älter als ein Jahr!
Drei Tage und fünf Stunden. So lange brauchte die Hacker-Community, um die neue Pokémon-Go-API zu knacken. Ein beeindruckendes Unterfangen, an dem zahlreiche Entwickler aus aller Welt beteiligt waren - viele davon suchten Tag und Nacht nach einer Lösung. Die Nachfrage war ohne Zweifel groß: Tausende Nutzer strömten in den offiziellen Discord-Chat, auch um möglichst früh zu erfahren, wenn Dienste wie Pokévision zurückkehren könnten. Um die Last zu verringern, wurde sogar ein eigener Reddit-Livethread eingerichtet, der zu Spitzenzeiten ebenfalls mehrere tausend Nutzer zählte. Üblicherweise werden derartige Livethreads nur zu aktuellen Ereignissen, beispielswiese dem Terroranschlag in Nizza, eingerichtet.
Rückkehr für lokale Tracker, Aus für PokéAdvisor
Die neue Pokémon-Go-API ist ähnlich strukturiert wie ihre Vorgänger, weswegen zahlreiche Apps, unter anderem PokéAlert, PokéNotify und PokéMesh, bereits wieder funktionieren und Pokémon in der Nähe anzeigen. Auch andere lokale Dienste, wie PokémonGo-Map und Pokiimap, wurden überarbeitet und können in neuen Versionen verwendet werden - vorerst. Niantic zeigte vorerst keine offizielle Reaktion auf den erneuten Hack und auch die Server blieben in den vergangenen 24 Stunden stabil.
Das liegt allerdings auch daran, dass die API mittlerweile Zugriffe über Cloud-Dienste wie Google und Amazon offenbar blockiert. Das ist offenbar eine Maßnahme, um großangelegte Dienste wie beispielsweise den Pokémon-Tracker Pokévision und Bot-Anbieter auszuschließen. Leider wurden auch hilfreiche Dienste, wie der PokéAdvisor, von dieser Maßnahme getroffen. Dieser griff ebenfalls auf die API zu, um Daten über gesammelte Pokémon abzurufen und so automatisch das Potenzial zu berechnen.
Selber hosten statt Webdienste
Der vorläufige Sieg hatte somit auch seinen Preis. Wer Dienste wie Pokémon-Tracker in Anspruch nehmen will, muss somit künftig selbst einen Server betreiben oder entsprechende Apps auf dem Smartphone installieren. Dazu muss man direkt gegen die Nutzungsbedingungen verstoßen statt sich in einen rechtlichen Graubereich zu begeben, wie es bei Cloud-Diensten wie Pokévision der Fall war. Direkte Konsequenzen drohen aber nicht, da die Apps meist dazu raten, einen zusätzlichen Pokémon-Trainer-Club-Account für das Tracken anzulegen.
Das hat Niantic ebenfalls berücksichtigt und eine weitere Hürde für Bot- und Tracker-Nutzer implementiert. So müssen zum Aktivieren neuer Pokémon-Trainer-Club-Konten die Nutzungsbedingungen im Spiel akzeptiert werden. Einige Nutzer haben aber bereits Python-Skripten verfasst, mit denen dieser Vorgang automatisiert absolviert werden kann.
Am Flachland unterwegs
Die neue API ist alles andere als perfekt. So werden API-Anfragen stets als von einem iOS-Gerät kommend durchgeführt - das könnte für Niantic ein Indikator für unerwünschte Anfragen sein, wenn diese von einer Android-App durchgeführt werden. Zudem werden auch die übermittelten Höhen-Informationen nicht angepasst, weswegen der Spieler aus Sicht von Niantic stets auf der gleichen Höhe unterwegs ist.
Die API fragt demnach auch ab, auf welcher Seehöhe sich der Nutzer befindet. Neben den Höheninformationen werden auch zahlreiche andere, scheinbar sinnlose Daten wie Empfangsqualität erfasst, um eine Prüfsumme für Anfragen zu berechnen. Zukünftig könnten diese Daten aber wohl auch genutzt werden, um Bot-Nutzer schneller zu identifizieren. Daher gaben die Entwickler der API auch bekannt, dass sie diese Daten nicht anpassen wollen, da davon wohl nur Bot-Nutzer profitieren würden.
Entwickler wollen Frieden mit Niantic schließen
Das offenbart auch einen Bruch innerhalb der Hacker-Community. Während ein Großteil der Entwickler explizit Bots, GPS-Spoofer und andere Cheating-Werkzeuge verurteilen und Diskussionen darüber verbieten, tummeln sich in den Foren viele Entwickler, die hierzu bereitwillig Auskunft geben und sich an derartigen Projekten beteiligen. Hier versuchen viele Nutzer an das Gewissen der Community zu appellieren und rufen dazu auf, die Server nicht zu stark zu belasten. Viele Nutzer betreiben mehrere dutzend Pokémon-Go-Accounts, um ganze Städte scannen zu lassen - der Aufwand für Dienste, die Pokémon auf der ganzen Welt tracken, ist dementsprechend gewaltig und kommt aus der Sicht von Niantic einer DDoS-Attacke gleich.
Der Pokémon-Go-Vorgänger Ingress hatte dieses Problem nicht. Das liegt nicht nur an der Tatsache, dass Ingress nie dermaßen populär war wie Pokémon Go - zuletzt war die Rede von rund einer Million aktiver Ingress-Spieler - sondern daran, dass hier starke Teamzugehörigkeit herrschte. Um ein Ziel zu erreichen, mussten die Mitglieder der beiden Fraktionen zusammenarbeiten - Cheating und das Umgehen von Spielvorgaben wurden von der Community nicht geduldet. In Pokémon Go fehlt diese Teamkomponente vorerst, das einzige wirkliche Ziel ist das Sammeln von Pokémon. Diese Aufgabe kann man zwar im Team erledigen, man muss es allerdings nicht. Da der offizielle Pokémon-Radar weiterhin nicht funktioniert, fällt es daher vielen Spielern leicht, das Cheaten zu rechtfertigen.
Ob man hier einen Kompromiss mit Niantic Labs finden wird, ist unklar. Der Entwickler will einerseits seine Server entlasten, aber auch für Chancengleichheit im Spiel sorgen und versucht, sämtliche unerlaubten Zugriffe von außen zu blockieren - ob es sich dabei um vermeintlich harmlose Pokémon-Tracker oder Statistik-Apps handelt, kann man nur schwer berücksichtigen. Ein Beispiel, das Hoffnung gibt, lässt sich allerdings in der Ingress-Community finden: IITC, eine Erweiterung der Ingress-Intel-Map, wird von Niantic offenbar geduldet. Die Map zeigt nicht mehr Informationen als der offizielle Ingress-Client selbst, stellt diese aber übersichtlicher dar.
Kommentare