Možda ste vidjeli kako se na društvenim mrežama razgovara o određenom pitanju sigurnosti u vezi s aplikacijom Pokémon GO. To su vrlo valjani problemi - aplikacija može koristiti vlastiti spremnik web preglednika za prijavu s svog Google računa, a kada je odobri, sebi daje puni pristup svim vašim podacima.
Kontaktirali smo Niant - koji je razvio aplikaciju Pokémon Go. Mediji su objavili odgovor u ponedjeljak kasno navečer. ABC News među prvima je to podijelio na Twitteru - a Niantic je tada objavio isti odgovor i za Android Central.
Izjava glasi ovako:
Nedavno smo otkrili da postupak kreiranja računa Pokémon GO na iOSu pogrešno zahtijeva dozvolu potpunog pristupa za Googleov korisnički račun korisnika. Međutim, Pokémon GO pristupa samo osnovnim podacima o Google profilu (konkretno, vašem korisničkom ID-u i adresi e-pošte) i drugim podacima o Google računu nije ili im se pristupa ili prikuplja. Nakon što smo postali svjesni ove pogreške, počeli smo raditi na ispravci na strani klijenta kako bismo zatražili dozvolu za samo osnovne podatke Google profila, u skladu s podacima kojima doista pristupamo. Google je potvrdio da Pokémon Go ili Niantic nisu primili niti pristupili drugim informacijama. Google će uskoro smanjiti dozvolu Pokémon GO-a samo na osnovne podatke profila koji su potrebni Pokémon-u GO, a korisnici ne moraju sami poduzimati nikakve radnje.
Izvorni post slijedi:
Dobra (?) Vijest je da se čini da je ovo problem samo za iOS. Na Androidu se čini da se aplikacija koristi "ispravnim" načinom prijave s vašim Google vjerodajnicama i ne traži pristup vašim osjetljivim podacima računa. Možete provjeriti sami ovdje. Zapravo, kad provjerimo račun koji nije koristio iPhone za prijavu, aplikacija Pokémon GO nije ni navedena kako ima pristup. Ne budite uznemireni ako vidite istu stvar.
Prva briga - stranica za prijavu spremnika za internetski pregled - nije previše zabrinjavajuća. Apple ima sigurne metode za aplikacije koje mogu raditi ovakve stvari (iako bi Google radije da je korisnik usmjeren na zadani web-preglednik kako bi se URL mogao provjeriti), a svaku aplikaciju provjerava Appleovo osoblje prije objave. Da, čak i Apple može dopustiti da nešto promakne, ali stranica za autorizaciju računa je zakonita. Provjerili smo. I milijuni korisnika su provjerili.
Druga zabrinutost - pristup svim podacima s vašeg Google računa - mnogo je zabrinjavajući.
Ova razina pristupa znači da izdavač može vidjeti sve. Prema Googleu:
Kad odobrite puni pristup računu, aplikacija može vidjeti i izmijeniti gotovo sve podatke na vašem Google računu (ali ne može promijeniti zaporku, izbrisati račun ili platiti Google novčanikom u vaše ime).
Određene Googleove aplikacije mogu biti navedene pod potpunim pristupom računu. Na primjer, mogli biste vidjeti da aplikacija Google Maps koju ste preuzeli za svoj iPhone ima potpuni pristup računu.
Ovu privilegiju "punog pristupa računu" treba odobriti samo aplikacije u koje imate potpuno povjerenje i koje su instalirane na vašem osobnom računalu, telefonu ili tabletu.
I više. U osnovi, sve što ste ikada učinili dok ste bili prijavljeni s Googleom i sve što ste ikada spremili na Disk ili Fotografije otvori se za Niantic i samu aplikaciju.
Sada mislimo da Niantic ili Nintendo neće pregledavati podatke vašeg računa ili pregledavati vaše fotografije. Ali što se događa ako netko tamo pronađe način kako hakirati Niantića? Pristupom pravoj bazi podataka, svaki napadač može imati token koji im daje sve vaše "stvari". To nije dobro. Uopće nije dobro.
Ono što preporučujemo je da koristite zaseban Google račun ako ćete igrati Pokémon Go na svom iPhoneu. Ili možete odlučiti da se uopće ne igrate i obrišite dopuštenja sa svoje Google stranice sigurnosti.
Važno je da znate što se događa.
