Pokémon GO er "Malware" og en "Stor Security Risk": Security Expert

I tilfelle du har bodd under en stein den siste uken, Pokémon GO er et opprørende populært, forstørret reality mobile spill. Det slår allerede Tinder og rivaling Twitter i daglige aktive brukere. Spillet er bare fem dager gammelt, og allerede er det nesten 50.000 anmeldelser på iOS App Store. Folk bruker mye mer tid på å finne ut Pokémon enn de bruker på WhatsApp, Instagram, Snapchat eller Facebook Messenger.

Suksessen til Pokémon GO er flott for sin skaperen Niantic, og for de millioner som har lastet ned den. Bortsett fra én ting: det er et stort sikkerhetsproblem, og ingen er helt sikker på hvorfor den eksisterer.

To dager etter spillets utgivelse diskuterte sikkerhetseksperten Adam Reeve om sårbarheten. På grunn av spillets overveldende etterspørsel måtte nye brukere - hvis de overbelaste serverne fungerte - bli tvunget til å logge inn ved hjelp av en Google-konto. De som gjorde det, kunne da begynne å spille. Men verken Google eller Pokémon GO appen selv advarte nye brukere hvor mye privatliv de sacrificed.

Viser seg at det er ganske mye.

"Full tilgang." Det høres ut som litt mye. Det er. Reeve skriver i en post med tittelen "Pokemon Go er en stor sikkerhetsrisiko" på sin blogg. I sin tweet linker til innlegget, ringer han appens malware. Den største takeaway er at "full tilgang" bare betyr:

Pokemon Go og Niantic kan nå:

• Les all din epost
• Send e-post som deg
• Få tilgang til alle Google-stasjonsdokumenter (inkludert å slette dem)
• Se på søkeloggen din og navigasjonsloggen til Maps
• Få tilgang til private bilder du kan lagre i Google Foto
• Og mye mer

Tilgangen berørte alle iOS-brukere og velger Android-brukere. For å se om du selv har gitt opp tilgang til kontoen din, se her.

Så @NianticLabs det virker _som__ Pokemon go installer får full tilgang til koblede google-kontoer. Noen ide hvorfor?

- Adam Reeve (@adamreeve) 11. juli 2016

Det er svært liten grunn til at Niantic har så mye tilgang. Reeve skriver at "beste praksis (og enkel logikk) dikterer" at apper ber om minimumskrav til informasjon - "som vanligvis bare er enkel kontaktinformasjon." Som et resultat, Reeve gjetter at dette var et tilsyn - om enn en stor tilsyn - på vegne av Niantic.

"Dette er trolig bare resultatet av episk uforsiktighet. Men jeg vet ingenting om Niantics sikkerhetspolitikk. Jeg vet ikke hvor godt de vil beskytte denne fantastiske nye kraften de har gitt seg, og ærlig talt stoler jeg ikke på dem i det hele tatt. Jeg har tilbakekalt tilgangen til kontoen min, og slettet appen. Jeg ønsker virkelig at jeg kunne spille, det ser ut som morsomt, men det er ingen måte det er verdt risikoen."

Likevel er det noe fisket på gang. Når en app ber om tillatelser, bør Google være rask til å informere brukerne hvor mange tillatelser de gir. I dette tilfellet var det ingen slik melding: Brukerne opprettet en konto, og - ukjente til dem - ga bort full tilgang.

Problemet er ikke at Pokemon Go har tilgang til Google-kontoen din, det er det Google aldri ber deg om å gi den tilgang til. Skal ikke være mulig.

- SecuriTay (@SwiftOnSecurity) 11. juli 2016

Videre er det fortsatt ikke Niantic bekymret: en talsmann fortalte Ars Technica bare følgende: "Ingen kommentar å dele for øyeblikket."

Enten Google goofed, eller Niantic gjør nettleserautomatisering for å programmatisk godta Googles sikkerhetsadvarsel. Hovedproblemet enten.

- SecuriTay (@SwiftOnSecurity) 11. juli 2016

Niantic er egen Pokémon GO personvernspolitikken inneholder følgende, som - gitt ovenstående - virker misvisende:

"Under gameplay og når du … registrerer deg for å opprette en konto hos oss … samler vi inn visse opplysninger som kan brukes til å identifisere eller gjenkjenne deg (" PII "). Spesielt fordi du må ha en konto hos Google før du registrerer deg for å opprette en konto, samler vi PII (for eksempel Google-e-postadressen din …) som dine personverninnstillinger med Google … tillater oss å få tilgang til.

Og verre:

"Etter avslutning eller deaktivering av din … konto, kan Niantic, dets kunder, tilknyttede selskaper eller tjenesteleverandører beholde informasjon … og brukerinnhold for en kommersielt rimelig tidsperiode …"

Hvis du er noen som skatter Pokémon over ditt privatliv, så fortsett som om ingenting hadde skjedd. Hvis du foretrekker å beholde Google-kontoen din, bør du tilbakekalle tilgangen. (Tilbakekallingsadgang påvirker angivelig ikke din hardt opptjente Pokémon.)

Hvis du ennå ikke har registrert deg, bruk bare en brenner-Google-konto. Med en brukervennlighet denne store og voksende på dagen, kan utnytninger ikke være langt bak.