Pokemon Go : Avez-vous donné un accès complet à votre compte Google?

Pokemon Go : Avez-vous donné un accès complet à votre compte Google?

Les joueurs qui ont téléchargé le Pokémon Go jeu de réalité augmentée ont reçu une alerte lundi, après avoir remarqué que l’application avait apparemment été accordée « accès » à leurs comptes Google.

Pris à leur valeur nominale, les autorisations auraient représenté une faille de sécurité majeure sur la jeu Pokemon go, mais qui ne semble affecter les joueurs qui ont signé pour jouer le jeu en utilisant leur compte Google sur Apple appareils .

La découverte a déclenché une vague de peur que le jeu pourrait permettre à ses développeurs, Niantic Labs, à lire et à envoyer du courrier électronique, l’ accès, modifier et supprimer des documents dans Google Drive et Google Photos et navigateur d’accès et des cartes historiques.

En fait, à la fois Google et Niantic Labs, disent que «accès complet» signifie rien de la contre-intuitivement sorte, une demande soutenue par les chercheurs en sécurité indépendants.

Le problème semble provenir du fait que Niantic Labs utilise une version obsolète du service de sign-on partage de Google. Typiquement développeurs app utilisent cette approche pour faire inscription rapide et plus facile pour les joueurs – il utilise les informations d’identification existantes stockées sur votre téléphone afin que vous ne devez pas créer encore un autre compte en ligne. apps Habituellement seulement exigent des informations de base telles que votre nom, e-mail, le sexe et l’emplacement et cela est clairement expliqué au point de l’inscription.

Utilisé correctement, signe-ons partagés devraient demander à l’utilisateur les autorisations qu’ils veulent accorder à l’application, et toutes les autorisations au-delà des exigences de base sont clairement mis en évidence. Mais il semble que, parce que Niantic Labs utilise une version non prise en charge, out-of-date de la procédure d’inscription sur, que l’étape d’autorisation d’octroi a été ignoré, ce qui incite Google à défaut d’avertir les utilisateurs que l’application avait «plein accès» à leurs comptes .