Pokémon Go技术问题尴尬不断 被爆“强夺”谷歌帐号完整权限

   日期:2021-07-01     文章发布:文章发布    网络转载:生活号    
核心提示:Pokémon Go游戏会自动获得Google账户完整权限,可以看Photos和Drive里存放的隐私文件、调取搜索记录等等。更可怕的这一切无法拒绝,因为游戏直接帮你按了权限确认的按钮。
移动站源标题:http://mip.pi1688.com/news/item-4553.html

  Pokémon Go游戏会自动获得Google账户完整权限,可以看Photos和Drive里存放的隐私文件、调取搜索记录等等。更可怕的这一切无法拒绝,因为游戏直接帮你按了权限确认的按钮。

  据悉,任天堂和Niantic Labs联合开发的手游Pokémon Go(口袋妖怪Go)有多火爆相信已经不用再过多介绍了,从7月4号发布以来,仅仅8天时间,其用户活跃度已逼近Twitter,用户使用时间甚至达到Snapchat的两倍之多。但与此同时其负面消息也接踵而来,继昨天假冒Pokémon Go安装包引发黑客攻击的消息之后,今天又爆出Pokémon Go“强夺”谷歌帐号完整权限的新闻。

  由于目前Pokémon Go只提供两种登陆方式:谷歌账户或Pokémon训练师俱乐部(pokemon.com)帐号。一方面是在欧美几乎人人都有谷歌账户,另一方面之前pokemon.com由于技术故障而无法接受新用户注册,因此目前大部分玩家其实都在使用谷歌账户来玩Pokémon Go。

  然而据美国玩家反映,Pokémon Go直接获取了谷歌账户最高等级的“完整权限”(full access),而这一待遇通常只有Chrome等谷歌旗下产品才能获得。

  更具体一点说,具备了完整权限的应用可以随时查看你的Gmail邮件,可以以你的身份发送邮件,可以获取/删除你存储在Google Drive云盘里的任何文件,可以查看Google Photos里备份的所有隐私照片等等。如果获取此权限的第三方应用安全性不高,或将引发非常严重的隐私泄露事件。

  另外,即使Pokémon Go的服务器足够安全,第三方应用也应该遵循最小权限原则。况且就目前Pokémon Go的游戏功能看,也完全不需要谷歌的完整账户权限。

  除了强制”完整权限“之外,还有更严重的情况。有用户尝试取消谷歌账户和Pokémon Go的关联,然后退出游戏,重新用谷歌帐号登录,在输入了用户名和密码之后,竟然没有跳出谷歌需要用户重新授权的确认界面,而是直接进入了游戏。如果上面的”完整权限“还将就可以理解的话,那这个连权限确认都不需要的登录行为该怎么解释呢?

  关于这一点,有国外大牛猜测:Pokémon Go的谷歌账户登录界面应该是谷歌官方的链接,这一点没有问题,至于为什么没有弹出用户权限确认界面,很可能是Pokémon Go服务器做了浏览器自动化操作,自动帮用户点击了确认按钮——这可是严重的网络安全事故(谷歌的权限确认界面如上图所示,Pokémon Go将自动跳过这一步骤)。

  关于上述这些严重的安全隐患,任天堂和Niantic Labs目前还没有公开回应。

  如此火爆的同时,Pokémon Go的安全问题也着实令人担忧。我们希望开发商能早日解决这些问题,并尽快登录中国,让国内玩家们也能够正常享受小精灵带来的快乐。

  虽然《Pokémon Go》是任天堂 Pokémon 系列的最新游戏,由谷歌旗下Niantic Labs联合开发,也是第一款 Pokémon 手游,但国外玩家发现,《Pokémon Go》存在严重的账户安全风险。

免责声明:本网部分文章和信息来源于互联网,本网转载出于传递更多信息和学习之目的,并不意味着赞同其观点或证实其内容的真实性,如有侵权请通知我们删除!(留言删除
 
 
更多>同类行业

同类新闻
最新资讯
最新发布
最受欢迎
网站首页  |  黄页  |  联系方式  |  生活号  |  版权隐私  |  网站地图  |  API推送  |  网站留言  |  RSS订阅  |  违规举报