Возможно, вы видели некоторые проблемы безопасности, связанные с приложением Pokémon GO, о котором говорили в социальных сетях. Это очень важные проблемы - приложение может использовать свой собственный контейнер веб-просмотра для входа в систему из вашей учетной записи Google, и после одобрения оно дает себе полный доступ ко всем вашим данным.
Мы связались с Niantic, который разработал приложение Pokémon Go. Он выпустил ответ для СМИ поздно вечером в понедельник. ABC News одним из первых поделились им в Twitter - и Niantic выпустили такой же ответ для Android Central.
Заявление гласит:
Недавно мы обнаружили, что процесс создания учетной записи Pokémon GO в iOS ошибочно запрашивает разрешение на полный доступ для учетной записи Google пользователя. Тем не менее, Pokémon GO получает доступ только к основной информации профиля Google (в частности, к вашему идентификатору пользователя и адресу электронной почты), и никакая другая информация учетной записи Google не была или не была получена или собрана. Как только нам стало известно об этой ошибке, мы начали работать над исправлением на стороне клиента, чтобы запросить разрешение только для основной информации профиля Google, в соответствии с данными, к которым мы фактически имеем доступ. Google подтвердил, что Pokémon Go или Niantic не получили и не получили никакой другой информации. Google скоро уменьшит разрешение Pokémon GO только на те базовые данные профиля, которые нужны Pokémon GO, и пользователям не нужно предпринимать никаких действий самостоятельно.
Оригинальный пост следует:
Хорошая (?) Новость заключается в том, что это проблема только для iOS. В Android приложение, по-видимому, использует «правильный» способ входа в систему с вашими учетными данными Google, и оно не запрашивает доступ к вашим конфиденциальным данным учетной записи. Вы можете проверить себя прямо здесь. Фактически, когда мы проверяем учетную запись, которая не использовала iPhone для входа в систему, приложение Pokémon GO даже не отображается как имеющее какой-либо доступ. Не пугайтесь, если вы видите то же самое.
Первая проблема - страница входа контейнера WebView - не слишком беспокоит. У Apple есть безопасные методы для приложений, позволяющих делать подобные вещи (хотя Google предпочел бы, чтобы пользователь направлялся в веб-браузер по умолчанию, чтобы можно было проверить URL), и каждое приложение проверяется персоналом Apple перед его публикацией. Да, даже Apple может позволить чему-то проскользнуть, но страница авторизации учетной записи является законной. Мы проверили. И миллионы пользователей проверили.
Вторая проблема - доступ ко всем данным вашей учетной записи Google - вызывает гораздо больше беспокойств.
Этот уровень доступа означает, что издатель может видеть все. По данным Google:
Когда вы предоставляете полный доступ к учетной записи, приложение может просматривать и изменять почти всю информацию в вашей учетной записи Google (но не может изменить ваш пароль, удалить вашу учетную запись или оплатить с помощью Google Кошелька от вашего имени).
Некоторые приложения Google могут быть перечислены в разделе полного доступа к учетной записи. Например, вы можете увидеть, что приложение Google Maps, которое вы скачали для своего iPhone, имеет полный доступ к учетной записи.
Эта привилегия «Полный доступ к учетной записи» должна предоставляться только приложениям, которым вы полностью доверяете и которые установлены на вашем персональном компьютере, телефоне или планшете.
И больше. По сути, все, что вы когда-либо делали во время входа в Google, и все, что вы когда-либо сохраняли в Drive или Photos, широко доступны для Niantic и самого приложения.
Теперь мы не думаем, что Niantic или Nintendo будут изучать данные вашей учетной записи или просматривать ваши фотографии. Но что произойдет, если кто-то найдет способ взломать Niantic? Имея доступ к нужной базе данных, любой злоумышленник может иметь токен, который дает им все ваши «вещи». Это не хорошо. Совсем не хорошо.
Мы рекомендуем вам использовать отдельную учетную запись Google, если вы собираетесь играть в Pokémon Go на своем iPhone. Или вы можете вообще не играть и удалить разрешения со своей страницы безопасности Google.
Важно то, что вы знаете, что происходит.
