Pokémon Go问题不断,被爆“强夺”谷歌帐号完整权限
任天堂的手游Pokémon Go(口袋妖怪Go)有多火爆相信已经不用再过多介绍了,从7月4号发布以来,仅仅8天时间,其用户活跃度已逼近Twitter,用户使用时间甚至达到Snapchat的两倍之多。但与此同时其负面消息也接踵而来,继昨天假冒Pokémon Go安装包引发黑客攻击的消息之后,今天又爆出Pokémon Go“强夺”谷歌帐号完整权限的新闻。
由于目前Pokémon Go只提供两种登陆方式:谷歌账户或Pokémon训练师俱乐部(pokemon.com)帐号。一方面是在欧美几乎人人都有谷歌账户,另一方面之前pokemon.com由于技术故障而无法接受新用户注册,因此目前大部分玩家其实都在使用谷歌账户来玩Pokémon Go。
然而据美国玩家反映,Pokémon Go直接获取了谷歌账户最高等级的“完整权限”(full access),而这一待遇通常只有Chrome等谷歌旗下产品才能获得。
谷歌的账户帮助页面有如下一段描述:
当您向应用授予完整帐户权限后, 该应用几乎可以查看和修改您 Google 帐户中的所有信息 (但不能更改密码、删除帐户,或以您的名义使用 Google 电子钱包付款)。
某些 Google 应用可能具有完整帐户权限。例如,您可能会看到,您下载到 iPhone 的“Google 地图”应用具有完整帐户权限。
请仅将“完整帐户权限”授予您 完全信任 且已安装到您的个人计算机、手机或平板电脑上的应用。
更具体一点说,具备了完整权限的应用可以随时查看你的 Gmail 邮件,可以以你的身份发送邮件,可以获取/删除你存储在Google Drive云盘里的任何文件,可以查看Google Photos里备份的所有隐私照片等等。如果获取此权限的第三方应用安全性不高,或将引发非常严重的隐私泄露事件。
另外,即使Pokémon Go的服务器足够安全,第三方应用也应该遵循最小权限原则。况且就目前Pokémon Go的游戏功能看,也完全不需要谷歌的完整账户权限。
除了强制”完整权限“之外,还有更严重的情况。有用户尝试取消谷歌账户和Pokémon Go的关联,然后退出游戏,重新用谷歌帐号登录,在输入了用户名和密码之后,竟然没有跳出谷歌需要用户重新授权的确认界面,而是直接进入了游戏。如果上面的”完整权限“还将就可以理解的话,那这个连权限确认都不需要的登录行为该怎么解释呢?
关于这一点,有国外大牛猜测:Pokémon Go的谷歌账户登录界面应该是谷歌官方的链接,这一点没有问题,至于为什么没有弹出用户权限确认界面,很可能是Pokémon Go服务器做了浏览器自动化操作,自动帮用户点击了确认按钮——这可是严重的网络安全事故。
如此火爆的同时,Pokémon Go的安全问题也着实令人担忧,我们希望开发商能早日解决这些问题,并尽快登录中国,让国内玩家们也能够正常地享受小精灵们带来的快乐。