Być może widziałeś pewne obawy dotyczące bezpieczeństwa związane z aplikacją Pokémon GO w mediach społecznościowych. Są to bardzo ważne problemy - aplikacja może korzystać z własnego kontenera przeglądania stron internetowych do logowania z konta Google, a po zatwierdzeniu daje pełny dostęp do wszystkich danych.
Dotarliśmy do Niantic - który opracował aplikację Pokémon Go. Wydał odpowiedź dla mediów późnym poniedziałkowym wieczorem. ABC News była jedną z pierwszych, która udostępniła ją na Twitterze - a Niantic wydał tę samą odpowiedź na Android Central.
Oświadczenie brzmi następująco:
Niedawno odkryliśmy, że proces tworzenia konta Pokémon GO na iOS błędnie żąda pełnego dostępu do konta Google użytkownika. Jednak Pokémon GO ma dostęp tylko do podstawowych informacji profilu Google (w szczególności do Twojego identyfikatora użytkownika i adresu e-mail) i żadne inne informacje o koncie Google nie są lub nie były dostępne ani gromadzone. Gdy dowiedzieliśmy się o tym błędzie, rozpoczęliśmy pracę nad poprawką po stronie klienta, aby poprosić o pozwolenie tylko na podstawowe informacje z profilu Google, zgodnie z danymi, do których faktycznie uzyskujemy dostęp. Google potwierdziło, że Pokémon Go ani Niantic nie otrzymały ani nie uzyskały dostępu do żadnych innych informacji. Google wkrótce ograniczy uprawnienia Pokémon GO do tylko podstawowych danych profilowych, których potrzebuje Pokémon GO, a użytkownicy nie muszą sami podejmować żadnych działań.
Oryginalny post:
Dobra (?) Wiadomość jest taka, że wydaje się, że jest to problem związany wyłącznie z iOS. W Androidzie wydaje się, że aplikacja korzysta z „właściwego” sposobu logowania się przy użyciu poświadczeń Google i nie prosi o dostęp do poufnych danych konta. Możesz sprawdzić sam tutaj. W rzeczywistości, gdy sprawdzamy konto, które nie używało iPhone'a do zalogowania się, aplikacja Pokémon GO nie jest nawet wymieniona jako posiadająca dostęp. Nie przejmuj się, jeśli zobaczysz to samo.
Pierwszy problem - strona logowania do kontenera Webview - nie jest zbyt kłopotliwy. Apple ma bezpieczne metody dla aplikacji, które potrafią to zrobić (chociaż Google wolałby, aby użytkownik został skierowany do domyślnej przeglądarki internetowej, aby można było sprawdzić adres URL), a każda aplikacja jest sprawdzana przez pracowników Apple przed opublikowaniem. Tak, nawet Apple może przepuścić coś, ale strona autoryzacji konta jest prawidłowa. Sprawdziliśmy. I miliony użytkowników sprawdzili.
Drugi problem - dostęp do wszystkich danych z konta Google - jest o wiele bardziej niepokojący.
Ten poziom dostępu oznacza, że wydawca może zobaczyć wszystko. Według Google:
Po udzieleniu pełnego dostępu do konta aplikacja może wyświetlić i zmodyfikować prawie wszystkie informacje na koncie Google (ale nie może zmienić hasła, usunąć konta ani zapłacić w Portfelu Google w Twoim imieniu).
Niektóre aplikacje Google mogą być wymienione w ramach pełnego dostępu do konta. Na przykład możesz zobaczyć, że aplikacja Mapy Google pobrana na iPhone'a ma pełny dostęp do konta.
To uprawnienie „Pełny dostęp do konta” powinno być przyznawane tylko aplikacjom, którym w pełni ufasz i które są zainstalowane na Twoim komputerze osobistym, telefonie lub tablecie.
I więcej. Zasadniczo wszystko, co kiedykolwiek zrobiłeś po zalogowaniu się w Google, i wszystko, co kiedykolwiek zapisałeś na Dysku lub w Zdjęciach, jest szeroko otwarte dla Niantic i samej aplikacji.
Teraz nie sądzimy, aby Niantic lub Nintendo przeglądały dane twojego konta lub przeglądały twoje zdjęcia. Ale co się stanie, jeśli ktoś znajdzie sposób na zhakowanie Niantica? Mając dostęp do odpowiedniej bazy danych, każdy atakujący może mieć token, który daje im wszystkie „rzeczy”. To nie jest dobrze. W ogóle nie dobrze.
Zalecamy korzystanie z osobnego konta Google, jeśli chcesz grać w Pokémon Go na swoim iPhonie. Możesz też zdecydować, że w ogóle nie chcesz grać i usunąć uprawnienia ze strony bezpieczeństwa Google.
Ważne jest to, że wiesz, co się dzieje.
