A Pokemon Go a teljes Google fiókhoz hozzáférhetett

Az iPhone tulajdonosok Google fiókjainak minden adatához hozzáférhetett a Pokemon Go alkalmazás, beleértve az e-mailek elolvasását is. Vagyis mégsem.

Adam Reeve informatikus arra figyelmeztetett Tumbler oldalán, hogy a rendkívül népszerű Pokemon Go játék egy programozási hanyagság következtében egyes iOS rendszereken túl sok jogosultságot szerez meg.

Ha valaki játszani szeretne a nemrég megjelent Pockemon Go alkalmazással, fel kell iratkoznia a szolgáltatásra. A regisztráció során a Pockemon Go az új felhasználóknak felajánlja, hogy hozzanak létre egy fiókot a pokemon.com oldalon, vagy használják meglévő Google fiókjukat. Mivel az alkalmazás weboldala nem bírta a feliratkozók rohamát, az új játékosok számára a Google fiók használata maradt az egyetlen lehetséges választás.

A feliratkozás során a Pokemon Go azonban nem mutatja meg, hogy milyen adatokhoz fér hozzá és milyen jogosultságokat kér, csupán elfogadja a Google fiókkal történő regisztrációt.

Adam Reeve azt vette észre, hogy ha ezután felkeresi a Google azon oldalát, ahol megtekintheti, hogy az egyes alkalmazások milyen jogosultságokkal rendelkeznek a fiókjában, akkor azt látja, hogy a Pokemon Go teljes hozzáférést (full access) kapott.

Pokemon Go

Az informatikus első tájékoztatása szerint ez azt jelenti, hogy a Pokemon készítői számos egyéb jogosultság megszerzése mellett akár elolvashatják az e-mailjeinket, vagy leveleket küldhetnek a nevünkben.

Azóta megszólalt az ügyben az alkalmazást fejlesztő Niantic is, amely cáfolta, hogy a fiók alapadatain kívül bármihez hozzáférnének. A Gizmodo pedig a Google segítségével tisztázta, hogy még a teljes hozzáférés sem jelenti azt, hogy a Pokemon hozzáférne a levelezéshez is, ezt ugyanis a Google külön feltüntetné (a Has access to Gmail figyelmeztetéssel).

Emellett a Niantic ígéretet tett arra, hogy a programozási hibát – amely az androidos felhasználókat sosem érintette – hamarosan kijavítja, és a kért jogosultságokat korlátozni fogja.
Az eredeti figyelmeztetés tehát túlzónak bizonyult, és a Pokemon iOS felhasználóinak adatai soha nem kerültek veszélybe.

A G Data szerint ugyanakkor az eset felhívja a figyelmet arra, hogy néhány nap alatt felhasználók milliói képesek hozzáférést adni a Google fiókjukhoz azért, hogy egy népszerű játékot ki tudjanak próbálni. Ez pedig jól illusztrálja, hogy az emberi viselkedés sajátosságait milyen könnyen ki tudják használni az adathalász kampányok.

2 Comments

  1. Galandras12 szerint:

    De a Niantic cég a Google tulajdonában van. Meg vette az Ingress készítése során. Meg az Ingress is ugyan ennyi adatot kért.
    Így nem meglepő hogy a Google cége a Google teljes adathozzáféréssel biztosítja (még ha jó szerverekkel nem is)

  2. András G-vel szerint:

    A Niantic a Google tulajdonában van. Meg vette az Ingress készítése során. Meg az Ingress is ugyan ennyi adatot kér.
    Így nem meglepő hogy a Google cége a Google teljes adathozzáféréssel biztosítja (még ha jó szerverekkel nem is adott ami igazán ráférne)

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.