Článek

Vývojář Pokémon Go pracuje na opravě oprávnění účtu iOS

Možná jste viděli některé bezpečnostní problémy o Pokémon GO aplikace, o které se mluví na sociálních médiích. Jedná se o velmi platné problémy - aplikace může pro přihlášení z vašeho účtu Google použít svůj vlastní kontejner webového zobrazení a po schválení si poskytne plný přístup ke všem vašim datům.

Oslovili jsme společnost Niantic - která vyvinula aplikaci Pokémon Go. V pondělí večer podala odpověď médiím. ABC News byl mezi prvními, kdo to sdílel na Twitteru - a Niantic poté vydal stejnou odpověď Android Central.

Prohlášení zní takto:

Nedávno jsme zjistili, že proces vytváření účtu Pokémon GO v systému iOS chybně vyžaduje oprávnění úplného přístupu k účtu Google uživatele. Pokémon GO však přistupuje pouze k základním informacím z profilu Google (konkrétně k vašemu uživatelskému ID a e-mailové adrese) a k žádným dalším informacím o účtu Google není nebo nebyl přistupován ani shromažďován. Jakmile jsme se o této chybě dozvěděli, začali jsme pracovat na opravě na straně klienta, abychom v souladu s údaji, ke kterým skutečně přistupujeme, požádali o povolení pouze pro základní informace o profilu Google. Google ověřil, že Pokémon Go nebo Niantic neobdržel žádné další informace ani k nim nepřistupoval. Google brzy omezí povolení Pokémon GO pouze na základní profilová data, která Pokémon GO potřebuje, a uživatelé nemusí sami provádět žádné akce.

Následuje původní příspěvek:

Špatný

Dobrou zprávou (?) Je, že se zdá, že jde pouze o problém s iOS. V systému Android se zdá, že aplikace používá „správný“ způsob přihlášení pomocí vašich přihlašovacích údajů Google a nepožaduje přístup k vašim citlivým údajům o účtu. Můžete to zkontrolovat sami právě tady. Ve skutečnosti, když zkontrolujeme účet, který k přihlášení nepoužíval iPhone, aplikace Pokémon GO není ani uvedena, že by měla jakýkoli přístup. Nebojte se, pokud vidíte to samé.

Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited

První problém - přihlašovací stránka kontejneru webview - není také znepokojující. Apple má pro aplikace zabezpečené metody, jak takové věci dělat (i když Google by byl raději, kdyby byl uživatel přesměrován výchozí webový prohlížeč, takže lze zkontrolovat adresu URL) a každou aplikaci před tím zkontroluje personál Apple zveřejněno. Ano, i Apple může něco nechat projít, ale stránka autorizace účtu je legitimní. Zkontrolovali jsme to. A miliony uživatelů to zkontrolovali.

Druhá obava - přístup ke všem vašim údajům o účtu Google - je mnohem znepokojivější.

Tato úroveň přístupu znamená, že vydavatel může vidět všechno. Podle Google:

Když udělíte plný přístup k účtu, aplikace bude moci zobrazit a upravit téměř všechny informace ve vašem účtu Účet Google (ale nemůže změnit vaše heslo, smazat účet nebo platit pomocí Peněženky Google ve vašem účtu jménem).

Určité aplikace Google mohou být uvedeny pod plným přístupem k účtu. Můžete například vidět, že aplikace Mapy Google, kterou jste si stáhli pro svůj iPhone, má plný přístup k účtu.

Toto oprávnění „Plný přístup k účtu“ by mělo být uděleno pouze aplikacím, kterým plně důvěřujete a které jsou nainstalovány ve vašem osobním počítači, telefonu nebo tabletu.

A více. V zásadě je vše, co jste kdy udělali, když jste přihlášeni pomocí Googlu, a vše, co jste kdy uložili na Disk nebo Fotky, otevřené pro Niantic a samotnou aplikaci.

Nyní si nemyslíme, že Niantic nebo Nintendo prohraje data z vašeho účtu nebo se podívají na vaše fotografie. Ale co se stane, když někdo venku najde způsob, jak hacknout Niantic? Díky přístupu do správné databáze může mít každý útočník token, který mu poskytne všechny vaše „věci“. To není dobré. Není to vůbec dobré.

Doporučujeme použít samostatný účet Google, pokud budete hrát Pokémon Go na svém iPhone. Nebo se můžete rozhodnout, že nebudete hrát vůbec a smažete oprávnění ze svého Stránka zabezpečení Google.

Důležité je, že víte, o co jde.

instagram story viewer