Article

Développeur Pokémon Go travaillant sur un correctif pour les autorisations de compte iOS

protection click fraud

Vous pourriez avoir vu quelques problèmes de sécurité à propos de Pokémon GO application dont on parle sur les réseaux sociaux. Ce sont des problèmes très valables - l'application peut utiliser son propre conteneur de vue Web pour se connecter à partir de votre compte Google, et une fois approuvée, elle se donne un accès complet à toutes vos données.

Nous avons contacté Niantic - qui a développé l'application Pokémon Go. Il a publié une réponse aux médias lundi soir. Actualités ABC a été parmi les premiers à le partager sur Twitter - et Niantic a ensuite émis la même réponse à Android Central.

La déclaration se lit ainsi:

Nous avons récemment découvert que le processus de création de compte Pokémon GO sur iOS demande par erreur une autorisation d'accès complet pour le compte Google de l'utilisateur. Cependant, Pokémon GO n'accède qu'aux informations de base du profil Google (en particulier, votre identifiant d'utilisateur et votre adresse e-mail) et aucune autre information de compte Google n'est ou n'a été consultée ou collectée. Une fois que nous avons pris connaissance de cette erreur, nous avons commencé à travailler sur un correctif côté client pour demander l'autorisation uniquement pour les informations de profil Google de base, conformément aux données auxquelles nous avons réellement accès. Google a vérifié qu'aucune autre information n'a été reçue ou consultée par Pokémon Go ou Niantic. Google réduira bientôt l'autorisation de Pokémon GO aux seules données de profil de base dont Pokémon GO a besoin, et les utilisateurs n'ont pas besoin de prendre de mesures eux-mêmes.

Le message original suit:

Pas bon

La bonne (?) Nouvelle est que cela semble être un problème uniquement iOS. Sur Android, l'application semble utiliser la «bonne» façon de se connecter avec vos informations d'identification Google, et elle ne demande pas l'accès aux données sensibles de votre compte. Vous pouvez vérifier par vous-même ici. En fait, lorsque nous vérifions un compte qui n'a pas utilisé d'iPhone pour se connecter, l'application Pokémon GO n'est même pas répertoriée comme ayant un accès. Ne vous inquiétez pas si vous voyez la même chose.

Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées

La première préoccupation - la page de connexion du conteneur Webview - n'est pas aussi troublant. Apple a des méthodes sécurisées permettant aux applications de faire ce genre de chose (bien que Google préfère que l'utilisateur soit dirigé vers le navigateur Web par défaut afin que l'URL puisse être vérifiée) et chaque application est vérifiée par le personnel Apple avant d'être publié. Oui, même Apple peut laisser passer quelque chose, mais la page d'autorisation de compte est légitime. Nous avons vérifié. Et des millions d'utilisateurs ont vérifié.

La deuxième préoccupation - l'accès à toutes les données de votre compte Google - est beaucoup plus troublante.

Ce niveau d'accès signifie que l'éditeur peut tout voir. Selon Google:

Lorsque vous accordez un accès complet au compte, l'application peut voir et modifier presque toutes les informations de votre Compte Google (mais il ne peut pas changer votre mot de passe, supprimer votre compte ou payer avec Google Wallet sur votre nom).

Certaines applications Google peuvent être répertoriées sous l'accès complet au compte. Par exemple, vous pouvez voir que l'application Google Maps que vous avez téléchargée pour votre iPhone dispose d'un accès complet au compte.

Ce privilège «Accès complet au compte» ne doit être accordé qu'aux applications en lesquelles vous avez pleinement confiance et qui sont installées sur votre ordinateur personnel, téléphone ou tablette.

Et plus. En gros, tout ce que vous avez fait en vous connectant à Google et tout ce que vous avez enregistré dans Drive ou Photos est largement ouvert à Niantic et à l'application elle-même.

Maintenant, nous ne pensons pas que Niantic ou Nintendo vont parcourir les données de votre compte ou regarder vos photos. Mais que se passe-t-il si quelqu'un trouve un moyen de pirater Niantic? Avec un accès à la bonne base de données, n'importe quel attaquant peut avoir un jeton qui leur donne toutes vos «affaires». Ce n'est pas bon. Pas bon du tout.

Ce que nous vous recommandons, c'est d'utiliser un compte Google distinct si vous allez jouer à Pokémon Go sur votre iPhone. Ou vous pouvez décider de ne pas jouer du tout et supprimer les autorisations de votre Page de sécurité Google.

L'important est que vous sachiez ce qui se passe.

instagram story viewer