您可能已经看到一些安全问题,关于在社交媒体上谈论的神奇宝贝GO应用程序。 这些都是非常有效的问题 - 应用程序可以使用自己的webview容器从您的Google帐户登录,一旦获得批准,它就可以完全访问您的所有数据。
我们联系了Niantic - 开发了神奇宝贝Go应用程序。 它在周一晚间发布了对媒体的回应。 ABC新闻 是第一批在Twitter上分享它的人之一 - 然后Niantic对 Android Central 发出同样的回应。
该声明如下:
我们最近发现iOS上的神奇宝贝GO帐户创建过程错误地请求用户的Google帐户的完全访问权限。 但是,PokémonGO仅访问基本的Google个人资料信息(特别是您的用户ID和电子邮件地址),并且未访问或收集任何其他Google帐户信息。 一旦我们意识到这个错误,我们就开始进行客户端修复,根据我们实际访问的数据,仅请求基本Google个人资料信息的权限。 Google已经确认PokémonGo或Niantic没有收到或访问任何其他信息。 谷歌将很快减少神奇宝贝GO的许可,只允许神奇宝贝GO需要的基本个人资料数据,用户不需要自己采取任何行动。
原帖如下:
好的(?)新闻是这似乎只是一个iOS问题。 在Android上,该应用似乎使用“正确”的方式使用您的Google凭据登录,并且不会要求访问您的敏感帐户数据。 你可以在这里自己检查一下。 事实上,当我们检查未使用iPhone登录的帐户时,神奇宝贝GO应用程序甚至没有被列为具有任何访问权限。 如果你看到同样的事情,不要惊慌。
第一个问题 - webview容器登录页面 - 不是 太 麻烦。 Apple有一些安全的方法可以让应用程序执行此类操作(尽管Google宁愿将用户定向到默认的Web浏览器以便检查URL)并且每个应用程序都会在Apple工作人员发布之前经过审核。 是的,即使是Apple也可以让一些东西漏掉,但帐户授权页面是合法的。 我们检查了。 数百万用户已经检查过。
第二个问题 - 访问您的所有Google帐户数据 - 更令人不安。
这种访问级别意味着发布者可以看到所有内容。 根据谷歌:
当您授予完全帐户访问权限时,该应用程序可以查看和修改您Google帐户中的几乎所有信息(但不能更改您的密码,删除您的帐户或代表您使用Google电子钱包付款)。
某些Google应用程序可能会在完全帐户访问权限下列出 例如,您可能会看到为iPhone下载的Google地图应用程序具有完全帐户访问权限。
此“完全帐户访问权限”权限只应授予您完全信任的应用程序,以及安装在您的个人计算机,手机或平板电脑上的应用程序。
和更多。 基本上,您在使用Google登录时所做的任何事情,以及您在云端硬盘或照片中保存的所有内容都对Niantic和应用程序本身敞开大门。
现在我们认为Niantic或任天堂不会透过您的帐户数据或查看您的照片。 但是,如果那里有人找到了破解Niantic的方法,会发生什么? 通过访问正确的数据库,任何攻击者都可以拥有一个令牌,为他们提供所有“东西”。 这不好。 一点都不好。
如果您打算在iPhone上玩神奇宝贝Go,我们建议您使用单独的Google帐户。 或者您可以决定不播放并从Google安全页面中删除权限。
重要的是你知道发生了什么。
