Приложение Pokemon GO для iOS требует полный доступ к аккаунту Google

Опасности поджидают игроков Pokemon GO на каждом шагу. Их подстерегает малварь, на них в реальности охотятся грабители, а некоторые игроки вообще умудряются случайно обнаружить труп во время игры. Теперь же эксперты привлекли всеобщее внимание к другой проблеме популярной AR-забавы: iOS приложение Pokemon GO запрашивает полный доступ к Google-аккаунту пользователя. В теории это значит, что пользователь предоставляет игре доступ к своей почте, фото, документам в облаке и так далее.

Первым на эту странность обратил внимание Адам Рив (Adam Reeve), ведущий архитектор компании RedOwl. В минувший понедельник, 11 июля 2016 года, Рив посвятил этому вопросу развернутый пост и назвал эту особенность игры «огромной проблемой с безопасностью». Фактически получив доступ к аккаунту Google, приложение Pokemon GO гарантирует себе полный доступ, не оповещая об этом пользователя. Хотя разработчики игры могли бы следовать стандартной процедуре и просто запросить ID пользователя, не требуя полного доступа.

«Здесь есть большой потенциал для злоупотреблений, — объяснил Рив журналистам Vice Motherboard. — Это вполне достаточно для того, чтобы я порекомендовал всем, кого это затрагивает, отозвать разрешения через Google и удалить приложение».

Еще один специалист по информационной безопасности, Дэн Гвидо (Dan Guido) из компании Trail of Bits, согласен с позицией Рива.

«Это означает, что где-то на серверах [Niantic] хранятся пачки токенов, при помощи которых можно читать почту миллионов людей, — говорит Гвидо. — Возникает беспокойство, учитывая, что они не в состоянии даже поддерживать онлайн своих серверов под нагрузкой; сколько же внимания тогда они уделяют безопасности?»

Представители компании Niantic, разработавшей Pokemon GO, уже прокомментировали ситуацию. По их словам, версия для iOS запрашивает полный доступ к аккаунту Google по ошибке, которую вскоре пообещали устранить. Также разработчики поспешили успокоить публику и заявили, что не собирали ничего лишнего:

«Pokemon GO доступна только базовая информация о профиле Google (а именно: ваш ID и email-адрес), никакие другие данные об аккаунте Google не доступны и не собираются. Как только нам стало известно о данной ошибке, мы начали работу над исправлением, которое позволит клиенту запрашивать только базовую информацию о профиле Google. Google вскоре урежет права Pokemon GO до базовых, так что пользователям не придется делать это самостоятельно».

Фото: Sadie Hernandez