Покемон Go для iOS перестанет требовать полный доступ к учетной записи Google

Массово популярный Покемон Go Игра, выпущенная всего несколько дней назад, получает полный доступ к учетной записи Google, когда она выбирается в качестве опции аутентификации при настройке приложения в iOS. Android не влияет. Хотя приложение iOS также позволяет использовать учетную запись Pokémon Trainer Club, на момент написания этой статьи возможность создания новой клубной учетной записи недоступна, по-видимому, из-за перегрузки системы.

Обновление: A Обновление Pokémon Go теперь доступно , который включает в себя исправление для доступа к данным учетной записи Google. После установки обновления игра сообщит, что имеет доступ только к вашему идентификатору пользователя Google и адресу электронной почты.

В заявлении, сделанном поздно вечером в понедельник, разработчик игры, Niantic, сказал, что было ошибкой запрашивать такой уровень доступа, и приложение использовало только имя учетной записи Google и связанный адрес электронной почты. Фирма обновляет приложение, чтобы уменьшить количество запрашиваемых разрешений, и заявляет, что Google автоматически уменьшит разрешения для своих приложений. Полное заявление Niantic приведено в конце статьи.

Адам Рив, главный архитектор аналитической фирмы Red Owl, разместил предупреждение в своем личном блоге в пятницу об этой проблеме аккаунта Google. Большинство приложений запрашивают минимальный объем доступа к учетной записи (или «основной информации профиля», как ее называет Google) для предоставления ссылки, отчасти из-за частых откликов пользователей, экспертов и иногда регуляторов, когда приложения запрашивают слишком много.

Большинство приложений запрашивают минимальный объем доступа к учетной записи (или «основной информации профиля», как ее называет Google) для предоставления ссылки, отчасти из-за частых откликов пользователей, экспертов и иногда регуляторов, когда приложения запрашивают слишком много

Pokémon Go в iOS молча запрашивает полный доступ к связанной учетной записи Google.

При подтверждении отчета Рива в iOS посредством тестирования, когда выбран вариант учетной записи Google, приложение представляет стандартный вход Google в приложение, включая требование второго фактора, если он включен. Однако ни приложение, ни процесс входа в систему Google не раскрывают, что приложение получает полный доступ. Посещение аккаунта Google Подключенные приложения и сайты ссылка показывает статус доступа приложения. (В Android аутентификация происходит без предоставления доступа, подтвержденного в ходе тестирования и с несколькими пользователями Android. Предоставляются только локальные разрешения для контактов, камеры и других функций, с отдельными подсказками для каждого.)

Отмена доступа не отключает приложение.

Однако доступ можно отозвать, не отключая приложение. В настройках подключенных приложений и сайтов выберите запись Pokémon Go Release, нажмите «Удалить» и нажмите кнопку «ОК». Игра продолжит функционировать, хотя возможно, что позже она может запросить аутентификацию.

Полный доступ позволяет приложению или веб-сайту действовать эффективно, как если бы он был владельцем учетной записи, включая доступ к электронной почте, контактам и файлам Google Диска. (Запрос в Google для уточнения степени полного доступа не получил ответа.) Полный доступ по своей сути не является недостатком безопасности, но он открывает пользователям Niantic риск, если его системы будут скомпрометированы внутренней или внешней стороной. И это дает компании верёвку, с помощью которой она может повеситься, если она захочет использовать такой высокий уровень доступа, как, например, отправка Gmail от имени пользователей.

Риск атаки связан с тем, как работает связь с аккаунтом Google. В локально управляемой системе учетных записей, такой как Trainer Club, база данных учетных записей содержит набор незашифрованных записей для таких элементов, как имя учетной записи пользователя и адрес электронной почты, а также зашифрованные записи для паролей. При хорошей конструкции криптографической системы, даже если злоумышленник получит всю базу данных, пароли не могут быть извлечены, даже с огромными усилиями. (Слабые системы допускают атаки методом перебора).

Однако приложения и сайты, использующие учетные записи для проверки подлинности на других сайтах, таких как Google, Twitter и Facebook, не хранят пароль, зашифрованный или иным образом, для этого стороннего сайта. Скорее, после того, как пользователь заходит на сторонний сайт и проверяет учетную запись, разработчик получает токен, просто небольшой фрагмент уникального текста, который хранится и используется для управления взаимодействием.

Злоумышленнику нужно только получить этот токен, чтобы использовать связанную учетную запись, независимо от того, публикуете ли вы сообщения в Twitter или читаете электронную почту в Google.

Как отмечает Рив, доступ к электронной почте сам по себе может быть тонким краем клина для хищения личных данных и учетных записей на нескольких сайтах. Многие люди используют Gmail в качестве своего основного или дополнительного адреса электронной почты, поэтому другие сайты будут отправлять электронные письма для восстановления пароля на эту учетную запись Gmail. Злоумышленник с адресами электронной почты и токенами может попытаться сбросить пароли на популярных сайтах, на которых, скорее всего, пользователи Pokémon Go имеют учетные записи, а затем захватить эти связанные учетные записи.

Представитель Niantic, разработчика игры, сказал, что компания пока не комментирует этот вопрос. Мы также связались с Google и обновим эту историю, когда появится новая информация. (Niantic когда-то принадлежал Google, и был выделился как самостоятельная компания в октябре 2015 года с инвестициями Google, компании Pokémon и Nintendo, которой принадлежит треть компании Pokémon.

Полное заявление Ньянтика:

«Недавно мы обнаружили, что процесс создания учетной записи Pokémon GO в iOS ошибочно запрашивает разрешение на полный доступ для учетной записи Google пользователя. Тем не менее, Pokémon GO получает доступ только к основной информации профиля Google (в частности, к вашему идентификатору пользователя и адресу электронной почты), и никакая другая информация учетной записи Google не была или не была получена или собрана. Как только нам стало известно об этой ошибке, мы начали работать над исправлением на стороне клиента, чтобы запросить разрешение только для основной информации профиля Google, в соответствии с данными, к которым мы фактически имеем доступ. Google подтвердил, что Pokémon GO или Niantic не получали и не получали никакой другой информации. Google скоро уменьшит разрешение Pokémon GO только на те базовые данные профиля, которые нужны Pokémon GO, и пользователям не нужно предпринимать никаких действий самостоятельно. Для получения дополнительной информации ознакомьтесь с Политикой конфиденциальности Niantic здесь: https://www.nianticlabs.com/privacy/pokemongo/en »

Обновление: эта история была обновлена ​​ответом от Niantic и инструкциями по аннулированию доступа к аккаунту Google.

Новости

Как сбалансировать юзабилити и дизайн при создании сайта — User House
Красота или уродство в веб-дизайне всегда связаны с восприятием конкретного человека. То, что для одного «красиво», может быть «ужасным» для другого и наоборот. Но как же так получается, что многие популярные

Чем лучше юзабилити сайта – тем больше лояльных клиентов
Хотите понять, как посетители воспринимают сайт? Это очень просто. Представьте, что вы говорите по телефону с директором, и в это время вам звонит кто-то из родственников, а у вас еще работы на четыре

Знакомство с юзабилити-тестированием сайта. // webknowledge.ru
Перевод статьи:   An Introduction To Website Usability Testing. Автор:   Thomas Churm. При создании нового сайта необходимо учитывать множество факторов. Для того чтобы у посетителей возникло

Специалист по web-usability – боец невидимого фронта
Ярослав Перевалов Что такое usability engineering? Часто ли вы, бродя по Сети, обращаете внимание на то, насколько качественно структурирована информация на сайте и насколько удобно устроена навигация?

Гид по UX исследованиям для начинающих
В индустрии, в основе которой лежит использование людьми наших продуктов, услуг и приложений, исследования просто необходимы. Мы задаем вопросы. Мы делаем пометки. Мы стараемся узнать все, что возможно,

25 советов как улучшить юзабилити (usability) вашего сайта. | Блог об интернет деятельности и трудовых буднях Максима Вячеславовича
Доброго времени суток, дорогие друзья! Сегодня мы поговорим с вами о такой важной вещи как U sability (юзабилити) сайта , о том, как улучшить данный фактор, зная его основные принципы и правила.

Что такое юзабилити и зачем оно нужно
Юзабилити включает простоту, удобство в пользовании, тестирование, проведение аудита проекта. Юзабилити сайтов, интернет-магазинов — это неотъемлимая часть выгодного ведения бизнеса. Задача юзабилити

Юзабилити тестирование сайта турагентства
«Когда информации много и она дешева, дорогим становится внимание». James Gleick Представим сайт, владелец которого считает его достаточно хорошим, удобным и привлекательным. Он размещает рекламные объявления

Юзабилити
Юзабилити (от англ. слова «usability» – практичность, простота использования) – это весьма распространенное ныне понятие объединяет максимальное удобство использования сайта и полезность информации, на

5 шагов для успешного юзабилити-тестирования приложения
Представьте: вы придумали и разработали мобильное приложение с приятным, на ваш взгляд, дизайном, удобным функционалом, полезными опциями, выпустили релиз продукта, но… Несмотря на мощную маркетинговую

Карта