来源: 时间:2022-02-01 09:35:04
《精灵宝可梦GO》可能让很多用户都想“一网打尽”,但iOS版本现在似乎存在安全风险,尤其是对那些使用谷歌账户登录的人来说。报道称,当用户使用《精灵宝可梦GO》应用程序登录时,该应用程序可以访问用户的整个谷歌账户。
安全研究员亚当·里夫(Adam Reeve)首先指出了这个安全缺陷,他也是红猫头鹰分析公司(Red Owl Analytics)的主要架构师。
里夫在他的tumblr博客adamreeve.tumblr.com上发布了一篇博客文章,强调了这个问题。他在博客中指出,当用户通过谷歌账户登录时,《精灵宝可梦GO》被授予对该账户的完全访问权,而不仅仅是像大多数应用程序一样的基本个人资料访问权。
如果你曾经用谷歌账户登录过一个应用程序或服务,你会注意到谷歌会准确地告诉你该服务或应用程序被授予了什么权限。在大多数情况下,应用程序可以访问已经公开的基本信息,而不能完全访问一个账户。
但在《精灵宝可梦GO》的应用程序中,该应用程序获得了“完全账户访问”特权,里夫在他的帖子中说,这包括“阅读您的所有电子邮件,以您的身份发送电子邮件,访问您的所有谷歌驱动器文档(包括删除它们),查看您的搜索历史和地图导航历史,以及访问您可能存储在谷歌照片中的任何私人照片。”
这是谷歌的支持页面在谈到完全帐户访问时所说的,
“当您授予完全帐户访问权限时,应用程序可以查看和修改您谷歌帐户中的几乎所有信息(但它不能更改您的密码、删除您的帐户或代表您使用谷歌钱包支付)。某些谷歌应用程序可能会在完全帐户访问下列出。例如,您可能会看到您为iphone下载的谷歌地图应用程序具有完全的帐户访问权限。“
虽然里夫的帖子强调了这种完全访问防止的危险,但其他人指出,《精灵宝可梦GO》不能真正阅读电子邮件,或删除你的谷歌驱动器文件。谷歌在给Gizmodo的一份声明中证实,在这种情况下,这样的行动需要特定的许可,比如说“有Gmail的许可”。
然而,Niantic实验室已经意识到这种“全账户”访问可能会有一些安全问题,并向polygon发布了一份声明,承认这是他们的错误。
声明补充说,“然而,《精灵宝可梦GO》只访问基本的谷歌个人资料信息(特别是你的用户ID和电子邮件地址),没有其他谷歌账户信息被访问或收集。一旦我们意识到这个错误,我们就开始在客户端进行修复,只请求对基本的谷歌个人资料信息的许可,这与我们实际访问的数据一致。“
Niantic还证实,谷歌将减少《精灵宝可梦GO》只对“基本个人资料数据”的许可。
对于那些仍然对神奇宝贝窃取你所有信息感到偏执的人,你可以在应用程序上退出谷歌,或者通过我的账户设置取消访问。就目前而言,这似乎不会影响游戏性。
相关推荐
猜你喜欢
