Du har måske set nogle sikkerhedsmæssige bekymringer omkring Pokémon GO-appen, der bliver talt om på sociale medier. Dette er meget gyldige problemer - applikationen kan bruge sin egen webview-container til login fra din Google-konto, og når den først er godkendt giver den sig selv fuld adgang til alle dine data.
Vi nåede ud til Niantic - som udviklede Pokémon Go-appen. Det udsendte et svar til medierne sent mandag aften. ABC Nyheder var blandt de første til at dele det på Twitter - og Niantic udsendte derefter det samme svar til Android Central.
Udsagnet lyder således:
Vi opdagede for nylig, at oprettelsen af Pokémon GO-kontoen på iOS fejlagtigt anmoder om fuld adgangstilladelse til brugerens Google-konto. Pokémon GO har dog kun adgang til grundlæggende Google-profiloplysninger (specifikt dit bruger-id og din e-mail-adresse), og ingen andre Google-kontooplysninger er eller er blevet adgang til eller indsamlet. Da vi blev opmærksomme på denne fejl, begyndte vi at arbejde på en løsning på klientsiden for at anmode om tilladelse til kun grundlæggende Google-profiloplysninger, i tråd med de data, som vi faktisk får adgang til. Google har verificeret, at ingen andre oplysninger er blevet modtaget eller fået adgang fra Pokémon Go eller Niantic. Google reducerer snart Pokémon GOs tilladelse til kun de grundlæggende profildata, som Pokémon GO har brug for, og brugerne behøver ikke selv at tage noget.
Det originale indlæg følger:
Den gode (?) Nyhed er, at dette ser ud til at være et iOS-eneste problem. På Android ser app'en ud til at bruge den "rigtige" måde at logge ind med dine Google-legitimationsoplysninger, og den beder ikke om adgang til dine følsomme kontodata. Du kan selv tjekke lige her. Når vi tjekker på en konto, der ikke har brugt en iPhone til at logge på, er Pokémon GO-appen ikke engang angivet som nogen adgang. Vær ikke bange, hvis du ser den samme ting.
Den første bekymring - webview-containers login-side - er ikke for bekymrende. Apple har sikre metoder til, at apps kan udføre denne slags ting (skønt Google hellere vil, at brugeren ledes til standardwebbrowser, så URL'en kan kontrolleres), og hver app kontrolleres af Apple-personale, før den offentliggøres. Ja, selv Apple kan lade noget glide igennem, men siden med kontoautorisering er legitim. Vi kontrollerede. Og millioner af brugere har tjekket.
Den anden bekymring - adgang til alle dine Google-kontodata - er meget mere bekymrende.
Dette adgangsniveau betyder, at udgiveren kan se alt. Ifølge Google:
Når du giver fuld kontoadgang, kan applikationen se og ændre næsten alle oplysninger på din Google-konto (men det kan ikke ændre din adgangskode, slette din konto eller betale med Google Wallet på dine vegne).
Visse Google-applikationer kan vises på listen under fuld kontotilgang. For eksempel kan du muligvis se, at Google Maps-applikationen, du downloadede til din iPhone, har fuld kontotilgang.
Dette privilegium "Fuld kontoadgang" bør kun gives til applikationer, du har fuldt tillid til, og som er installeret på din personlige computer, telefon eller tablet.
Og mere. Grundlæggende er alt, hvad du nogensinde har gjort, mens du er logget ind med Google, og alt hvad du nogensinde har gemt i Drive eller Photos er åben for Niantic og selve appen.
Nu tror vi ikke, at Niantic eller Nintendo vil gennemgå dine kontodata eller se på dine fotos. Men hvad sker der, hvis nogen derude finder en måde at hacke Niantic på? Med adgang til den rigtige database kan enhver angriber have et token, der giver dem alle dine "ting". Det er ikke godt. Overhovedet ikke godt.
Det, vi anbefaler, er, at du bruger en separat Google-konto, hvis du spiller Pokémon Go på din iPhone. Eller du kan beslutte at slet ikke spille og slette tilladelserne fra din Googles sikkerhedsside.
Det vigtige er, at du ved, hvad der foregår.
