Maaaring nakita mo ang ilang mga alalahanin sa seguridad tungkol sa Pokémon GO app na pinag-uusapan sa social media. Napakahusay na mga isyu na ito - maaaring magamit ng application ang sarili nitong lalagyan ng webview para sa pag-login mula sa iyong Google Account, at sa sandaling naaprubahan binibigyan nito ang buong pag-access sa lahat ng iyong data.
Inabot namin ang Niantic - na binuo ang Pokémon Go app. Nagpalabas ito ng tugon sa media huli Lunes ng gabi. Ang ABC News ay kabilang sa una na nagbahagi nito sa Twitter - at Niantic pagkatapos mag-isyu ng parehong tugon sa Android Central.
Ang pahayag ay nagbabasa ng ganito:
Kamakailang natuklasan namin na ang proseso ng paglikha ng account ng Pokémon GO sa iOS ay humihiling ng buong pahintulot ng pag-access para sa Google account ng gumagamit. Gayunpaman, ang Pokémon GO ay nakakapasok lamang sa pangunahing impormasyon sa profile ng Google (partikular, ang iyong User ID at email address) at walang ibang impormasyon sa account sa Google ay na-access o nakolekta. Nang malaman namin ang error na ito, nagsimula kaming magtrabaho sa isang client-side fix upang humiling ng pahintulot para sa mga pangunahing impormasyon sa profile sa Google, alinsunod sa data na aktwal naming na-access. Patunayan ng Google na walang ibang impormasyon na natanggap o na-access ng Pokémon Go o Niantic. Malapit na bawasan ng Google ang pahintulot ng Pokémon GO sa tanging mga pangunahing data ng profile na kailangan ng Pokémon GO, at ang mga gumagamit ay hindi kailangang gumawa ng anumang mga aksyon sa kanilang sarili.
Ang sumusunod na post ay sumusunod:
Ang magandang (?) Balita ay ito ay lilitaw na isang isyu lamang sa iOS. Sa Android, lilitaw ang app na gumamit ng "tama" na paraan upang mag-log in gamit ang iyong mga kredensyal sa Google, at hindi ito humihiling ng pag-access sa iyong sensitibong data ng account. Maaari mong suriin para sa iyong sarili dito mismo. Sa katunayan, kapag suriin namin sa isang account na hindi pa nagamit ng isang iPhone upang mag-sign in, ang Pokémon GO app ay hindi nakalista kahit na may anumang pag-access. Huwag mag-alala kung nakikita mo ang parehong bagay.
Ang unang pag-aalala - ang pahina ng pag-login sa lalagyan ng webview - ay hindi masyadong nakakaabala. Ang Apple ay may mga secure na pamamaraan para sa mga app na gawin ang ganitong uri ng bagay (kahit na mas gugustuhin ng Google ang user sa default na web browser upang mai-tsek ang URL) at ang bawat app ay na-vetted ng mga kawani ng Apple bago ito mai-publish. Oo, kahit na ang Apple ay maaaring payagan ang isang bagay na dumaan, ngunit ang pahina ng pahintulot ng account ay lehitimo. Nagcheck kami. At milyon-milyong mga gumagamit ang nag-check.
Ang pangalawang pag-aalala - ang pag-access sa lahat ng iyong data sa Google account - ay mas nakakagambala.
Ang antas ng pag-access na ito ay nangangahulugan na makikita ng publisher ang lahat. Ayon sa Google:
Kapag binigyan mo ang buong account ng pag-access, ang application ay maaaring makita at baguhin ang halos lahat ng impormasyon sa iyong Google Account (ngunit hindi nito mababago ang iyong password, tanggalin ang iyong account, o magbayad sa Google Wallet sa iyong ngalan).
Ang ilang mga aplikasyon ng Google ay maaaring nakalista sa ilalim ng buong pag-access sa account. Halimbawa, maaari mong makita na ang application ng Google Maps na na-download mo para sa iyong iPhone ay may buong account sa pag-access.
Ang pribilehiyong "Buong account na ito" ay dapat ibigay lamang sa mga application na lubos mong pinagkakatiwalaan, at kung saan naka-install sa iyong personal na computer, telepono, o tablet.
At iba pa. Karaniwan, ang anumang nagawa mo habang naka-sign in sa Google, at lahat ng nai-save mo sa Drive o Mga Larawan ay malawak na bukas sa Niantic at ang app mismo.
Ngayon hindi namin iniisip na pupunta ang Niantic o Nintendo sa pamamagitan ng data ng iyong account o tingnan ang iyong mga larawan. Ngunit ano ang mangyayari kung ang isang tao doon ay makakahanap ng isang paraan upang hack Niantic? Sa pag-access sa tamang database, ang anumang mang-atake ay maaaring magkaroon ng isang token na nagbibigay sa kanila ng lahat ng iyong "bagay." Hindi maganda iyon. Hindi maganda sa lahat.
Ang inirerekumenda namin na gumamit ka ng isang hiwalay na account sa Google kung gagampanan mo ang Pokémon Go sa iyong iPhone. O maaari kang magpasya na huwag maglaro at tanggalin ang mga pahintulot mula sa iyong pahina ng seguridad ng Google.
Ang mahalagang bagay ay alam mo kung ano ang nangyayari.
