ソーシャルメディアで話題になっているPokémonGOアプリに関するセキュリティ上の懸念がいくつかあります。 これらは非常に有効な問題です。アプリケーションは、Googleアカウントからログインするために独自のwebviewコンテナーを使用でき、承認されると、すべてのデータへのフルアクセスを許可します。
ポケモンGoアプリを開発したナイアンティックに連絡しました。 月曜日の夕方遅くにメディアに応答した。 ABC News はTwitterで最初にそれを共有しました。そして、Nianticは Android Centralに 同じ応答を発行しました。
ステートメントはこう読みます:
最近、iOSでのPokémonGOアカウント作成プロセスが、ユーザーのGoogleアカウントへのフルアクセス許可を誤って要求することを発見しました。 ただし、PokémonGOは基本的なGoogleプロフィール情報(具体的には、ユーザーIDとメールアドレス)のみにアクセスし、他のGoogleアカウント情報はアクセスまたは収集されていません。 このエラーに気付いた後、クライアント側の修正作業を開始し、実際にアクセスするデータに合わせて、基本的なGoogleプロフィール情報のみの許可をリクエストしました。 Googleは、PokémonGoまたはNianticが他の情報を受信またはアクセスしていないことを確認しました。 Googleは間もなくPokémonGOの許可をPokémonGOが必要とする基本プロファイルデータのみに制限し、ユーザーは自分でアクションを実行する必要はありません。
元の投稿は次のとおりです。
良い(?)ニュースは、これがiOSのみの問題のように見えることです。 Androidでは、アプリはGoogleの認証情報で「正しい」方法でログインするように見え、機密アカウントデータへのアクセスを要求しません。 ここで自分自身を確認できます。 実際、サインインにiPhoneを使用していないアカウントを確認すると、PokémonGOアプリはアクセス権があるものとしてリストされていません。 同じものが表示されても心配しないでください。
最初の懸念事項であるwebviewコンテナのログインページは、 それほど 面倒ではありませ ん 。 Appleは、アプリがこのようなことを行うための安全な方法を備えています(ただし、GoogleはURLを確認できるようにユーザーをデフォルトのWebブラウザーに誘導することをお勧めします)。 はい、Appleでさえ何かをすり抜けることができますが、アカウント認証ページは合法です。 チェックしました。 そして、何百万人ものユーザーがチェックしました。
2番目の懸念-すべてのGoogleアカウントデータへのアクセス-は、さらに厄介です。
このレベルのアクセスは、パブリッシャーがすべてを見ることができることを意味します。 Googleによると:
完全なアカウントアクセスを許可すると、アプリケーションはGoogleアカウントのほぼすべての情報を表示および変更できます(ただし、パスワードの変更、アカウントの削除、またはGoogleウォレットでの支払いはできません)。
特定のGoogleアプリケーションは、フルアカウントアクセスでリストされる場合があります。 たとえば、iPhone用にダウンロードしたGoogleマップアプリケーションに、完全なアカウントアクセス権があることがわかります。
この「フルアカウントアクセス」権限は、完全に信頼され、パソコン、電話、またはタブレットにインストールされているアプリケーションにのみ付与する必要があります。
もっと。 基本的に、Googleでサインインしている間に行ったこと、およびドライブや写真に保存したことはすべて、Nianticとアプリ自体に広く開かれています。
NianticやNintendoがアカウントデータを調べたり、写真を見たりすることはないと思います。 しかし、誰かがナイアンティックをハックする方法を見つけたらどうなりますか? 適切なデータベースにアクセスすることで、攻撃者はすべての「もの」を提供するトークンを持つことができます。 それは良いことではありません。 全然良くない。
iPhoneでPokémonGoをプレイする場合は、別のGoogleアカウントを使用することをお勧めします。 または、まったくプレイしないことを決定し、Googleセキュリティページから権限を削除することもできます。
重要なことは、何が起こっているかを知っていることです。
