Artikkel

Pokémon Go-utvikler som jobber med en løsning for iOS-kontotillatelser

protection click fraud

Du har kanskje sett noen sikkerhetsproblemer om Pokémon GO app som blir snakket om på sosiale medier. Dette er veldig gyldige problemer - applikasjonen kan bruke sin egen webvisningsbeholder for pålogging fra Google-kontoen din, og når den er godkjent, gir den seg full tilgang til alle dataene dine.

Vi nådde ut til Niantic - som utviklet Pokémon Go-appen. Den sendte et svar til media sent mandag kveld. ABC Nyheter var blant de første som delte den på Twitter - og Niantic sendte deretter det samme svaret til Android Central.

Uttalelsen lyder således:

Vi oppdaget nylig at Pokémon GO-kontoopprettingsprosessen på iOS feilaktig ber full tilgangstillatelse for brukerens Google-konto. Imidlertid får Pokémon GO bare tilgang til grunnleggende Google-profilinformasjon (spesifikt din bruker-ID og e-postadresse), og ingen annen Google-kontoinformasjon er eller har blitt tilgang til eller samlet inn. Når vi ble klar over denne feilen, begynte vi å jobbe med en løsning på klientsiden for å be om tillatelse til bare grunnleggende Google-profilinformasjon, i tråd med dataene vi faktisk får tilgang til. Google har bekreftet at ingen annen informasjon er mottatt eller tilgjengelig av Pokémon Go eller Niantic. Google vil snart redusere Pokémon GOs tillatelse til bare de grunnleggende profildataene som Pokémon GO trenger, og brukerne trenger ikke å foreta seg noe selv.

Originalinnlegget følger:

Ikke bra

Den gode (?) Nyheten er at dette ser ut til å være et eneste iOS-problem. På Android ser det ut til at appen bruker den "riktige" måten å logge på med Google-legitimasjonen din, og den ber ikke om tilgang til dine sensitive kontodata. Du kan sjekke selv akkurat her. Faktisk, når vi sjekker en konto som ikke har brukt en iPhone til å logge på, er ikke Pokémon GO-appen engang oppført som å ha tilgang. Ikke vær redd hvis du ser det samme.

Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer

Den første bekymringen - påloggingssiden til webview-container - er ikke også plagsom. Apple har sikre metoder for apper for å gjøre denne typen ting (selv om Google helst vil at brukeren blir henvist til standard nettleser slik at URL-en kan kontrolleres) og hver app blir undersøkt av Apple-ansatte før den er publisert. Ja, til og med Apple kan la noe gli gjennom, men kontoautorisasjonssiden er legitim. Vi sjekket. Og millioner av brukere har sjekket.

Den andre bekymringen - tilgang til alle Google-kontodataene dine - er mye mer bekymringsfull.

Dette tilgangsnivået betyr at utgiveren kan se alt. I følge Google:

Når du gir full tilgang til kontoen, kan applikasjonen se og endre nesten all informasjon i din Google-konto (men den kan ikke endre passordet ditt, slette kontoen din eller betale med Google Wallet på din vegne).

Enkelte Google-applikasjoner kan være oppført under full kontotilgang. For eksempel kan du se at Google Maps-applikasjonen du lastet ned for iPhone, har full kontotilgang.

Dette "Full kontotilgang" -rettighet skal kun gis til applikasjoner du stoler fullt ut på, og som er installert på din personlige datamaskin, telefon eller nettbrett.

Og mer. I utgangspunktet er alt du noen gang har gjort mens du er logget på med Google, og alt du noen gang har lagret i Disk eller Bilder, åpent for Niantic og selve appen.

Nå tror vi ikke Niantic eller Nintendo kommer til å pore gjennom kontodataene dine eller se på bildene dine. Men hva skjer hvis noen der ute finner en måte å hacke Niantic på? Med tilgang til riktig database kan enhver angriper ha et token som gir dem alle dine "ting". Det er ikke bra. Ikke bra i det hele tatt.

Det vi anbefaler er at du bruker en egen Google-konto hvis du skal spille Pokémon Go på din iPhone. Eller du kan bestemme deg for ikke å spille i det hele tatt og slette tillatelsene fra din Googles sikkerhetsside.

Det viktige er at du vet hva som skjer.

instagram story viewer