Članak

Programer Pokémon Go radi na popravku za dopuštenja za iOS račune

protection click fraud

Možda ste vidjeli neke sigurnosne brige o Pokémon GO aplikacija o kojoj se govori na društvenim mrežama. To su vrlo valjani problemi - aplikacija može koristiti vlastiti spremnik za webview za prijavu s vašeg Google računa, a nakon što je odobri, daje si potpun pristup svim vašim podacima.

Dosegli smo Niantic - koji je razvio aplikaciju Pokémon Go. Izdao je odgovor medijima kasno u ponedjeljak navečer. ABC vijesti bio je među prvima koji ga je podijelio na Twitteru - a Niantic je potom izdao isti odgovor na Android Central.

Izjava ovako glasi:

Nedavno smo otkrili da postupak stvaranja računa Pokémon GO na iOS-u pogrešno traži dopuštenje punog pristupa za Googleov račun korisnika. Međutim, Pokémon GO pristupa samo osnovnim podacima o Google profilu (konkretno, vašem User ID-u i e-adresi), a niti jedan drugi podatak o Google računu nije niti je pristupljen niti je prikupljen. Nakon što smo saznali za ovu pogrešku, započeli smo s radom na popravku na strani klijenta kako bismo zatražili dopuštenje samo za osnovne podatke o Google profilu, u skladu s podacima kojima zapravo pristupamo. Google je potvrdio da Pokémon Go ili Niantic nisu primili niti pristupili drugim informacijama. Google će uskoro smanjiti dozvolu Pokémon GO samo na osnovne podatke o profilu koji su potrebni Pokémon GO, a korisnici ne trebaju sami poduzimati nikakve radnje.

Slijedi originalni post:

Nije dobro

Dobra (?) Vijest je da se čini da je ovo problem samo za iOS. Čini se da aplikacija na Androidu koristi "pravi" način za prijavu s Googleovim vjerodajnicama i ne traži pristup osjetljivim podacima računa. Možete sami provjeriti upravo ovdje. Zapravo, kada provjeravamo račun koji za prijavu nije upotrijebio iPhone, aplikacija Pokémon GO čak nije navedena ni kao da ima pristup. Ne uznemiravajte se ako vidite isto.

Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama

Prva briga - stranica za prijavu spremnika za webview - nije isto zabrinjavajuće. Apple ima sigurne metode za aplikacije da rade takve stvari (premda bi Google radije uputio korisnika zadani web preglednik kako bi se URL mogao provjeriti) i Appleovo osoblje provjerava svaku aplikaciju prije nego što je provjeri Objavljeno. Da, čak i Apple može dopustiti da vam nešto promakne, ali stranica za autorizaciju računa je valjana. Provjerili smo. I milijuni korisnika su provjerili.

Druga briga - pristup svim podacima vašeg Google računa - mnogo je zabrinjavajuća.

Ova razina pristupa znači da izdavač može vidjeti sve. Prema Googleu:

Kada odobrite puni pristup računu, aplikacija može vidjeti i izmijeniti gotovo sve podatke u vašem Google račun (ali ne može promijeniti vašu lozinku, izbrisati vaš račun ili platiti Google novčanikom na vašem korist).

Određene Googleove aplikacije mogu biti navedene pod punim pristupom računu. Na primjer, mogli biste primijetiti da aplikacija Google Maps koju ste preuzeli za iPhone ima puni pristup računu.

Ovu privilegiju "Potpunog pristupa računu" mogu odobriti samo one aplikacije kojima u potpunosti vjerujete i koje su instalirane na vašem osobnom računalu, telefonu ili tabletu.

I više. U osnovi, sve što ste ikad radili dok ste se prijavili s Googleom i sve što ste ikad spremili na Disk ili Fotografije širom je otvoreno za Niantic i samu aplikaciju.

Sad ne mislimo da će Niantic ili Nintendo prolaziti kroz podatke vašeg računa ili gledati vaše fotografije. Ali što će se dogoditi ako netko vani pronađe način za hakiranje Niantića? Pristupom ispravnoj bazi podataka, svaki napadač može imati token koji im daje sve vaše "stvari". To nije dobro. Uopće nije dobro.

Ono što preporučujemo je da koristite zasebni Google račun ako ćete igrati Pokémon Go na svom iPhone. Ili možete odlučiti da se uopće nećete igrati i izbrisati dopuštenja sa svog računala Googleova sigurnosna stranica.

Važno je da znate što se događa.

instagram story viewer