Je hebt misschien gezien enkele beveiligingsproblemen over de Pokémon GO app waarover op sociale media wordt gesproken. Dit zijn zeer geldige problemen - de applicatie kan zijn eigen webview-container gebruiken om in te loggen vanuit uw Google-account, en eenmaal goedgekeurd geeft het zichzelf volledige toegang tot al uw gegevens.
We namen contact op met Niantic, die de Pokémon Go-app ontwikkelde. Het gaf maandag laat in de avond een reactie aan de media. ABC nieuws was een van de eersten die het op Twitter deelde - en Niantic gaf vervolgens hetzelfde antwoord op Android Central.
De verklaring luidt als volgt:
We hebben onlangs ontdekt dat het aanmaken van een Pokémon GO-account op iOS ten onrechte volledige toegangsrechten vraagt voor het Google-account van de gebruiker. Pokémon GO heeft echter alleen toegang tot elementaire Google-profielinformatie (met name uw gebruikers-ID en e-mailadres) en er is of is geen andere Google-accountinformatie geopend of verzameld. Toen we ons eenmaal bewust waren van deze fout, begonnen we aan een client-side fix te werken om alleen toestemming te vragen voor elementaire Google-profielinformatie, in overeenstemming met de gegevens waartoe we daadwerkelijk toegang hebben. Google heeft geverifieerd dat er geen andere informatie is ontvangen of geopend door Pokémon Go of Niantic. Google zal binnenkort de toestemming van Pokémon GO beperken tot alleen de basisprofielgegevens die Pokémon GO nodig heeft, en gebruikers hoeven zelf geen actie te ondernemen.
Oorspronkelijke post volgt:
Het goede (?) Nieuws is dat dit een probleem met alleen iOS lijkt te zijn. Op Android lijkt de app de "juiste" manier te gebruiken om in te loggen met uw Google-inloggegevens en vraagt hij niet om toegang tot uw gevoelige accountgegevens. U kunt het zelf controleren hier. Als we een account controleren die geen iPhone heeft gebruikt om in te loggen, wordt de Pokémon GO-app zelfs niet vermeld als toegang. Schrik niet als u hetzelfde ziet.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
De eerste zorg - de inlogpagina van de webview-container - is dat niet te verontrustend. Apple heeft veilige methoden voor apps om dit soort dingen te doen (hoewel Google liever heeft dat de gebruiker wordt doorverwezen de standaardwebbrowser, zodat de URL kan worden gecontroleerd) en elke app wordt door Apple-personeel gecontroleerd voordat deze gepubliceerd. Ja, zelfs Apple kan iets doorlaten, maar de accountautorisatiepagina is legitiem. We hebben het gecheckt. En miljoenen gebruikers hebben het gecontroleerd.
De tweede zorg - toegang tot al uw Google-accountgegevens - is veel verontrustender.
Dit toegangsniveau betekent dat de uitgever alles kan zien. Volgens Google:
Wanneer u volledige accounttoegang verleent, kan de toepassing bijna alle informatie in uw Google-account (maar het kan uw wachtwoord niet wijzigen, uw account verwijderen of betalen met Google Wallet op uw namens).
Bepaalde Google-applicaties worden mogelijk vermeld onder volledige accounttoegang. U kunt bijvoorbeeld zien dat de Google Maps-applicatie die u voor uw iPhone heeft gedownload, volledige accounttoegang heeft.
Dit recht "Volledige accounttoegang" mag alleen worden verleend aan applicaties die u volledig vertrouwt en die zijn geïnstalleerd op uw pc, telefoon of tablet.
En meer. Kortom, alles wat je ooit hebt gedaan terwijl je bent aangemeld bij Google, en alles wat je ooit hebt opgeslagen in Drive of Foto's, staat wijd open voor Niantic en de app zelf.
Nu denken we niet dat Niantic of Nintendo je accountgegevens gaan doorzoeken of naar je foto's kijken. Maar wat gebeurt er als iemand een manier vindt om Niantic te hacken? Met toegang tot de juiste database kan elke aanvaller een token hebben waarmee ze al je "spullen" krijgen. Dat is niet goed. Helemaal niet goed.
Wat we aanbevelen is dat je een apart Google-account gebruikt als je Pokémon Go gaat spelen op je iPhone. Of je kunt besluiten om helemaal niet te spelen en de permissies van je Google-beveiligingspagina.
Het belangrijkste is dat u weet wat er aan de hand is.