20

Grasz w Pokémon Go? Twoje konto Google może być poważnie zagrożone

Pokémon Go, gra dzięki której Nintendo ponownie staje w centrum uwagi i rozpoczyna rajd po niesamowite pieniądze stała się tak popularna, że założę się, że powstaną o niej nie tylko artykuły w mediach, ale również poważne prace naukowe - m. in. z zakresu nauk społecznych. Zjawiska zjawiskami, ale warto wiedzieć o tym, że w niektórych przypadkach tytuł jest nieco zbyt łakomy na nasze dane. Okazuje się, że rejestrowanie się za pomocą konta Google może okazać się być wysoce ryzykowne.

Użytkownicy, którzy zarejestrowali się w Pokémon Go za pomocą swojego konta Google zaczynają uskarżać się na to, że bez ich wiedzy nadawane są usłudze pełne prawa – m. in. możliwość odczytywania oraz wysyłania wiadomości e-mail. Nie trzeba tłumaczyć, że takie działanie usługi oraz aplikacji może być niezwykle ryzykowne, nawet jeżeli deweloper nie korzysta aktywnie z pełni możliwości, które wypływają z pełnego dostępu. Ale załóżmy, że w aplikacji znajduje się luka, która może pozwolić na przejęcie dostępu do konta lub wykonanie na nim niebezpiecznych operacji. Nie ma ryzyka, że zapłaci ona za nas w Wallet, zmieni hasło lub zwyczajnie konto usunie. Ale będzie mieć dostęp do wszystkich innych opcji, co raczej nie jest zbyt ciekawą perspektywą przy założeniu, że ktoś taką lukę wykorzystuje.

Pokémon Go

Media technologiczne, w tym The Verge potwierdzają istnienie problemu, jednak nie da się w tym momencie określić, jakiej jest on natury. Nic nie wskazuje na to, by wpływ na to miał typ urządzenia, z jakiego wykonuje się logowanie, czy też wersja systemu operacyjnego. Co więcej, w niektórych przypadkach problem występuje losowo – jeżeli logowaliście się za pomocą konta Google do Pokémon Go, warto sprawdzić nadane aplikacji uprawnienia. Może okazać się, że te są o wiele za wysokie jak na grę, która raczej nie powinna posiadać zbyt szerokich praw.

Po tym, jak zmienicie uprawnienia dla Pokémon Go, będziecie musieli ponownie zalogować się do usługi, ale Wasza gra będzie cały czas tak samo funkcjonalna. Ponadto, po ponownym zalogowaniu uprawnienia nie zostaną ponownie zmienione na te najwyższe. Najwyższe uprawnienia na Waszym koncie Google powinny mieć tylko niektóre aplikacje Google, które instalujecie na swoich urządzeniach. Inne aplikacje, a szczególnie te od firm trzecich powinny mieć nadane zupełnie inne, niższe kombinacje uprawnień tak, aby zapewnić Wam jak najwyższe bezpieczeństwo Waszych danych. Sprawa z Pokémon Go wygląda na zwyczajny błąd, który powoduje automatyczne nadanie pełnego dostępu do informacji o koncie, nikt właściwie nie wierzy w to, żeby było to intencjonalne działanie ze strony twórców aplikacji. Zresztą – takie dane w Pokémon Go są zwyczajnie niepotrzebne.

Jak się okazuje, wydawca aplikacji już przyjrzał się sprawie i utrzymuje, że sprawa uprawnień wróciła do normy. Co więcej, Google na wszystkich kontach podłączonych do gry ma wprowadzić stosowne poprawki bez potrzeby ingerencji użytkownika. Warto jednak sprawdzić, czy rzeczywiście wszystko jest w porządku.