Pokémon Go游戏会自动获得Google账户完整权限,可以看Photos和Drive里存放的隐私文件、调取搜索记录等等。更可怕的这一切无法拒绝,因为游戏直接帮你按了权限确认的按钮。
据悉,任天堂和Niantic Labs联合开发的手游Pokémon Go(口袋妖怪Go)有多火爆相信已经不用再过多介绍了,从7月4号发布以来,仅仅8天时间,其用户活跃度已逼近Twitter,用户使用时间甚至达到Snapchat的两倍之多。但与此同时其负面消息也接踵而来,继昨天假冒Pokémon Go安装包引发黑客攻击的消息之后,今天又爆出Pokémon Go“强夺”谷歌帐号完整权限的新闻。
由于目前Pokémon Go只提供两种登陆方式:谷歌账户或Pokémon训练师俱乐部(pokemon.com)帐号。一方面是在欧美几乎人人都有谷歌账户,另一方面之前pokemon.com由于技术故障而无法接受新用户注册,因此目前大部分玩家其实都在使用谷歌账户来玩Pokémon Go。
然而据美国玩家反映,Pokémon Go直接获取了谷歌账户最高等级的“完整权限”(full access),而这一待遇通常只有Chrome等谷歌旗下产品才能获得。
更具体一点说,具备了完整权限的应用可以随时查看你的Gmail邮件,可以以你的身份发送邮件,可以获取/删除你存储在Google Drive云盘里的任何文件,可以查看Google Photos里备份的所有隐私照片等等。如果获取此权限的第三方应用安全性不高,或将引发非常严重的隐私泄露事件。
另外,即使Pokémon Go的服务器足够安全,第三方应用也应该遵循最小权限原则。况且就目前Pokémon Go的游戏功能看,也完全不需要谷歌的完整账户权限。
除了强制”完整权限“之外,还有更严重的情况。有用户尝试取消谷歌账户和Pokémon Go的关联,然后退出游戏,重新用谷歌帐号登录,在输入了用户名和密码之后,竟然没有跳出谷歌需要用户重新授权的确认界面,而是直接进入了游戏。如果上面的”完整权限“还将就可以理解的话,那这个连权限确认都不需要的登录行为该怎么解释呢?
关于这一点,有国外大牛猜测:Pokémon Go的谷歌账户登录界面应该是谷歌官方的链接,这一点没有问题,至于为什么没有弹出用户权限确认界面,很可能是Pokémon Go服务器做了浏览器自动化操作,自动帮用户点击了确认按钮——这可是严重的网络安全事故(谷歌的权限确认界面如上图所示,Pokémon Go将自动跳过这一步骤)。
关于上述这些严重的安全隐患,任天堂和Niantic Labs目前还没有公开回应。
如此火爆的同时,Pokémon Go的安全问题也着实令人担忧。我们希望开发商能早日解决这些问题,并尽快登录中国,让国内玩家们也能够正常享受小精灵带来的快乐。
虽然《Pokémon Go》是任天堂 Pokémon 系列的最新游戏,由谷歌旗下Niantic Labs联合开发,也是第一款 Pokémon 手游,但国外玩家发现,《Pokémon Go》存在严重的账户安全风险。