Möglicherweise haben Sie Sicherheitsbedenken in Bezug auf die Pokémon GO-App gesehen, über die in den sozialen Medien gesprochen wird. Hierbei handelt es sich um sehr wichtige Probleme. Die Anwendung kann ihren eigenen Webview-Container zum Anmelden von Ihrem Google-Konto aus verwenden und gewährt nach der Genehmigung vollen Zugriff auf alle Ihre Daten.
Wir haben uns an Niantic gewandt, der die Pokémon Go-App entwickelt hat. Es gab am späten Montagabend eine Antwort an die Medien. ABC News war unter den Ersten, die es auf Twitter geteilt haben - und Niantic gab dieselbe Antwort an Android Central heraus.
Die Aussage lautet also:
Wir haben kürzlich festgestellt, dass beim Erstellen des Pokémon GO-Kontos unter iOS fälschlicherweise die vollständige Zugriffsberechtigung für das Google-Konto des Benutzers angefordert wird. Pokémon GO greift jedoch nur auf grundlegende Google-Profilinformationen zu (insbesondere auf Ihre Benutzer-ID und E-Mail-Adresse), und es werden oder wurden keine anderen Google-Kontoinformationen abgerufen oder erfasst. Als wir diesen Fehler bemerkten, begannen wir mit der Arbeit an einem clientseitigen Fix, um die Erlaubnis nur für grundlegende Google-Profilinformationen in Übereinstimmung mit den Daten anzufordern, auf die wir tatsächlich zugreifen. Google hat bestätigt, dass Pokémon Go oder Niantic keine weiteren Informationen erhalten oder auf diese zugegriffen hat. In Kürze wird Google die Erlaubnis von Pokémon GO auf die grundlegenden Profildaten beschränken, die Pokémon GO benötigt, und die Nutzer müssen selbst keine Maßnahmen ergreifen.
Ursprünglicher Beitrag folgt:
Die gute (?) Nachricht ist, dass es sich anscheinend nur um ein iOS-Problem handelt. Unter Android verwendet die App anscheinend die "richtige" Methode, um sich mit Ihren Google-Anmeldeinformationen anzumelden, und fragt nicht nach dem Zugriff auf Ihre vertraulichen Kontodaten. Hier können Sie selbst nachschauen. Wenn wir ein Konto überprüfen, bei dem sich kein iPhone angemeldet hat, wird die Pokémon GO-App nicht einmal als "mit Zugriff" aufgeführt. Seien Sie nicht beunruhigt, wenn Sie dasselbe sehen.
Das erste Problem - die Anmeldeseite für den Webview-Container - ist nicht allzu beunruhigend. Apple verfügt über sichere Methoden für Apps, um dies zu tun (Google möchte jedoch, dass der Nutzer zum Standard-Webbrowser weitergeleitet wird, damit die URL überprüft werden kann). Jede App wird vor der Veröffentlichung von Apple-Mitarbeitern überprüft. Ja, auch Apple kann etwas durchlassen, aber die Konto-Autorisierungsseite ist echt. Wir haben überprüft. Und Millionen von Nutzern haben nachgesehen.
Das zweite Problem - der Zugriff auf alle Ihre Google-Kontodaten - ist weitaus problematischer.
Diese Zugriffsebene bedeutet, dass der Herausgeber alles sehen kann. Laut Google:
Wenn Sie den vollständigen Kontozugriff gewähren, kann die Anwendung nahezu alle Informationen in Ihrem Google-Konto anzeigen und ändern (Ihr Passwort kann jedoch nicht geändert, Ihr Konto gelöscht oder in Ihrem Namen mit Google Wallet bezahlt werden).
Bestimmte Google-Anwendungen werden möglicherweise unter dem vollständigen Kontozugriff aufgeführt. Beispielsweise wird möglicherweise angezeigt, dass die Google Maps-Anwendung, die Sie für Ihr iPhone heruntergeladen haben, über vollständigen Kontozugriff verfügt.
Dieses Zugriffsrecht "Vollständiger Kontozugriff" sollte nur für Anwendungen gewährt werden, denen Sie vollständig vertrauen und die auf Ihrem PC, Telefon oder Tablet installiert sind.
Und mehr. Grundsätzlich ist alles, was Sie jemals getan haben, während Sie sich bei Google angemeldet haben, und alles, was Sie jemals in Drive oder Fotos gespeichert haben, für Niantic und die App selbst offen.
Wir glauben nicht, dass Niantic oder Nintendo Ihre Kontodaten durchsuchen oder sich Ihre Fotos ansehen werden. Aber was passiert, wenn jemand da draußen einen Weg findet, Niantic zu hacken? Mit dem Zugriff auf die richtige Datenbank kann jeder Angreifer ein Token haben, mit dem er alle "Sachen" bekommt. Das ist nicht gut. Überhaupt nicht gut.
Wir empfehlen Ihnen, ein separates Google-Konto zu verwenden, wenn Sie Pokémon Go auf Ihrem iPhone spielen möchten. Sie können auch entscheiden, überhaupt nicht zu spielen und die Berechtigungen von Ihrer Google-Sicherheitsseite zu löschen.
Wichtig ist, dass Sie wissen, was los ist.
