Bạn có thể đã thấy một số lo ngại về bảo mật về ứng dụng Pokémon GO đang được nói đến trên phương tiện truyền thông xã hội. Đây là những vấn đề rất hợp lệ - ứng dụng có thể sử dụng bộ chứa webview riêng để đăng nhập từ Tài khoản Google của bạn và sau khi được phê duyệt, nó sẽ cung cấp cho nó toàn quyền truy cập vào tất cả dữ liệu của bạn.
Chúng tôi đã liên hệ với Niantic - công ty đã phát triển ứng dụng Pokémon Go. Nó đã đưa ra một phản ứng với các phương tiện truyền thông vào tối thứ Hai. ABC News là một trong những người đầu tiên chia sẻ nó trên Twitter - và Niantic sau đó đưa ra phản hồi tương tự với Android Central.
Tuyên bố đọc như vậy:
Gần đây chúng tôi đã phát hiện ra rằng quá trình tạo tài khoản Pokémon GO trên iOS yêu cầu quyền truy cập đầy đủ cho tài khoản Google của người dùng. Tuy nhiên, Pokémon GO chỉ truy cập thông tin hồ sơ cơ bản của Google (cụ thể là ID người dùng và địa chỉ email của bạn) và không có thông tin tài khoản Google nào khác được hoặc đã được truy cập hoặc thu thập. Khi chúng tôi nhận thấy lỗi này, chúng tôi đã bắt đầu sửa lỗi phía khách hàng để yêu cầu quyền chỉ cho thông tin tiểu sử cơ bản của Google, phù hợp với dữ liệu mà chúng tôi thực sự truy cập. Google đã xác minh rằng không có thông tin nào khác được nhận hoặc truy cập bởi Pokémon Go hoặc Niantic. Google sẽ sớm giảm sự cho phép của Pokémon GO đối với dữ liệu hồ sơ cơ bản mà Pokémon GO cần và người dùng không cần phải thực hiện bất kỳ hành động nào.
Bài gốc sau:
Tin tốt (?) Là điều này dường như chỉ là vấn đề của iOS. Trên Android, ứng dụng dường như sử dụng cách "đúng" để đăng nhập bằng thông tin đăng nhập Google của bạn và ứng dụng không yêu cầu quyền truy cập vào dữ liệu tài khoản nhạy cảm của bạn. Bạn có thể tự kiểm tra ngay tại đây. Trên thực tế, khi chúng tôi kiểm tra tài khoản chưa sử dụng iPhone để đăng nhập, ứng dụng Pokémon GO thậm chí không được liệt kê là có bất kỳ quyền truy cập nào. Đừng hoảng hốt nếu bạn thấy điều tương tự.
Mối quan tâm đầu tiên - trang đăng nhập container webview - không quá rắc rối. Apple có các phương pháp bảo mật cho các ứng dụng để thực hiện việc này (mặc dù Google muốn người dùng được chuyển đến trình duyệt web mặc định để có thể kiểm tra URL) và mọi ứng dụng đều được nhân viên Apple xem xét trước khi xuất bản. Có, thậm chí Apple có thể để một cái gì đó lướt qua, nhưng trang ủy quyền tài khoản là hợp pháp. Chúng tôi đã kiểm tra. Và hàng triệu người dùng đã kiểm tra.
Mối quan tâm thứ hai - truy cập vào tất cả dữ liệu tài khoản Google của bạn - rắc rối hơn nhiều.
Mức truy cập này có nghĩa là nhà xuất bản có thể nhìn thấy mọi thứ. Theo Google:
Khi bạn cấp quyền truy cập tài khoản đầy đủ, ứng dụng có thể xem và sửa đổi gần như tất cả thông tin trong Tài khoản Google của bạn (nhưng nó không thể thay đổi mật khẩu, xóa tài khoản của bạn hoặc thanh toán bằng Google Wallet thay mặt bạn).
Một số ứng dụng Google có thể được liệt kê dưới quyền truy cập tài khoản đầy đủ. Ví dụ: bạn có thể thấy ứng dụng Google Maps mà bạn đã tải xuống cho iPhone có quyền truy cập tài khoản đầy đủ.
Đặc quyền "Truy cập tài khoản đầy đủ" này chỉ nên được cấp cho các ứng dụng mà bạn hoàn toàn tin tưởng và được cài đặt trên máy tính cá nhân, điện thoại hoặc máy tính bảng của bạn.
Và hơn thế nữa. Về cơ bản, mọi thứ bạn đã từng làm khi đăng nhập bằng Google và mọi thứ bạn từng lưu trong Drive hoặc Photos đều mở rộng cho Niantic và chính ứng dụng.
Bây giờ chúng tôi không nghĩ Niantic hoặc Nintendo sẽ xem qua dữ liệu tài khoản của bạn hoặc xem ảnh của bạn. Nhưng chuyện gì sẽ xảy ra nếu ai đó ngoài kia tìm cách hack Niantic? Với quyền truy cập vào cơ sở dữ liệu phù hợp, bất kỳ kẻ tấn công nào cũng có thể có mã thông báo cung cấp cho họ tất cả "nội dung" của bạn. Điều đó không tốt. Không tốt chút nào.
Điều chúng tôi khuyên là bạn nên sử dụng một tài khoản Google riêng nếu bạn định chơi Pokémon Go trên iPhone. Hoặc bạn có thể quyết định hoàn toàn không chơi và xóa các quyền khỏi trang bảo mật Google của bạn.
Điều quan trọng là bạn biết những gì đang xảy ra.
