Pokémon GO คือ "มัลแวร์" และ "ความเสี่ยงด้านความปลอดภัยขนาดใหญ่": ผู้เชี่ยวชาญด้านความปลอดภัย

ในกรณีที่คุณอยู่ใต้ก้อนหินในช่วงสัปดาห์ที่ผ่านมา โปเกมอน GO เป็นเกมมือถือที่ได้รับความนิยมเพิ่มขึ้น มันกำลังเต้น Tinder อยู่แล้วและแข่งขันกับ Twitter ในผู้ใช้ที่ทำงานประจำวัน เกมดังกล่าวมีอายุเพียงห้าวันและมีบทวิจารณ์เกือบ 50,000 รายการใน iOS App Store ผู้คนใช้เวลาค้นหาโปเกมอนมากกว่าใช้จ่ายใน WhatsApp, Instagram, Snapchat หรือ Facebook Messenger

ความสำเร็จของ โปเกมอน GO ดีมากสำหรับผู้สร้าง Niantic และสำหรับผู้ที่ดาวน์โหลดหลายล้านคน ยกเว้นสิ่งหนึ่ง: มีช่องโหว่ด้านความปลอดภัยที่สำคัญและไม่มีใครแน่ใจว่าทำไมถึงมีอยู่

สองวันหลังจากการเปิดตัวเกม Adam Reeve ผู้เชี่ยวชาญด้านความปลอดภัยได้ทวิตเกี่ยวกับช่องโหว่ เนื่องจากความต้องการที่ล้นหลามของเกมผู้ใช้ใหม่ - หากเซิร์ฟเวอร์ที่ทำงานหนักเกินไปถูกบังคับให้ลงชื่อเข้าใช้ด้วยบัญชี Google ผู้ที่ทำเช่นนั้นจะสามารถเริ่มเล่นได้ อย่างไรก็ตามทั้ง Google และ โปเกมอน GO แอพเตือนผู้ใช้ใหม่ว่าพวกเขาเสียสละความเป็นส่วนตัวมากแค่ไหน

ปรากฎว่ามันค่อนข้างเยอะ

“ เข้าถึงได้เต็มที่” นั่นน่าจะฟังดูดีมาก มันคือ. รีฟเขียนโพสต์ในหัวข้อ“ โปเกมอนโกเป็นความเสี่ยงด้านความปลอดภัยขนาดใหญ่” ในบล็อกของเขา ในทวีตของเขาที่ลิงก์ไปยังโพสต์เขาเรียกมัลแวร์แอปว่า Takeaway ที่ใหญ่ที่สุดคือ "การเข้าถึงแบบเต็ม" เพียงแค่หมายถึง:

Pokemon Go และ Niantic สามารถ:

• อ่านอีเมลของคุณทั้งหมด
• ส่งอีเมลตามที่คุณ
• เข้าถึงเอกสารไดรฟ์ Google ทั้งหมดของคุณ (รวมถึงการลบ)
• ดูประวัติการค้นหาและประวัติการนำทางแผนที่ของคุณ
• เข้าถึงรูปภาพส่วนตัวที่คุณเก็บไว้ใน Google Photos
• และอีกมากมาย

การเข้าถึงส่งผลกระทบต่อผู้ใช้ iOS และเลือกผู้ใช้ Android หากต้องการดูว่าคุณยอมแพ้การเข้าถึงบัญชีของคุณเองหรือไม่ให้ดูที่นี่

ดังนั้น @NianticLabs ดูเหมือนว่า _some_ Pokemon Go การติดตั้งกำลังเข้าถึงบัญชี Google ที่เชื่อมโยงอย่างเต็มรูปแบบ มีความคิดอะไรบ้าง

- Adam Reeve (@adamreeve) 11 กรกฎาคม 2559

มีเหตุผลน้อยมากที่ Niantic จะสามารถเข้าถึงสิ่งนี้ได้มาก รีฟเขียนว่า "แนวทางปฏิบัติที่ดีที่สุด (และตรรกะอย่างง่าย) กำหนด" ที่แอพขอข้อมูลขั้นต่ำที่ต้องการ - "ซึ่งมักจะเป็นเพียงข้อมูลการติดต่อที่เรียบง่าย" ดังนั้นรีฟจึงเดาว่านี่เป็นการดูแล - แม้ว่า ใหญ่ การกำกับดูแล - ในนามของ Niantic

“ นี่อาจเป็นเพียงผลมาจากความประมาทเลินเล่อ แต่ฉันไม่รู้อะไรเลยเกี่ยวกับนโยบายความปลอดภัยของ Niantic ฉันไม่รู้ว่าพวกเขาจะปกป้องพลังใหม่ที่ยอดเยี่ยมที่พวกเขาได้รับจากตัวเองได้ดีเพียงใดและฉันก็ไม่เชื่อใจพวกเขาเลย ฉันได้เพิกถอนการเข้าถึงบัญชีของพวกเขาและลบแอป ฉันหวังว่าฉันจะเล่นได้ดูเหมือนสนุกมาก แต่ก็ไม่มีทางที่จะเสี่ยงเช่นนี้”

ถึงกระนั้นก็ยังมีบางสิ่งที่น่าสนใจเกิดขึ้น เมื่อแอปขอสิทธิ์ Google ควรรีบแจ้งให้ผู้ใช้ทราบว่ามีการอนุญาตเท่าไร ในกรณีนี้ไม่มีพรอมต์ดังกล่าว: ผู้ใช้สร้างบัญชีและ - ไม่เป็นที่รู้จัก - ให้สิทธิ์การเข้าถึงอย่างเต็มที่

ปัญหาไม่ใช่ว่า Pokemon Go มีสิทธิ์เข้าถึงบัญชี Google ของคุณ แต่เป็นเพราะ Google ไม่เคยขอให้คุณให้สิทธิ์การเข้าถึง ไม่น่าจะเป็นไปได้

- SecuriTay (@SwiftOnSecurity) 11 กรกฎาคม 2559

ยิ่งไปกว่านั้น Niantic ยังไม่ได้ขจัดความกังวล: โฆษกบอก Ars Technica เฉพาะต่อไปนี้:“ ไม่มีความคิดเห็นที่จะแบ่งปันในขณะนี้”

Google goofed หรือ Niantic กำลังดำเนินการอัตโนมัติของเบราว์เซอร์เพื่อยอมรับคำเตือนความปลอดภัยของ Google โดยทางโปรแกรม ปัญหาใหญ่ทางใดทางหนึ่ง

- SecuriTay (@SwiftOnSecurity) 11 กรกฎาคม 2559

Niantic's เอง โปเกมอน GO นโยบายความเป็นส่วนตัวรวมถึงสิ่งต่อไปนี้ซึ่ง - ตามที่กล่าวมา - ดูเหมือนจะทำให้เข้าใจผิด:

“ ระหว่างเล่นเกมและเมื่อคุณ…ลงทะเบียนเพื่อสร้างบัญชีกับเรา…เราจะรวบรวมข้อมูลบางอย่างที่สามารถใช้เพื่อระบุตัวตนหรือจดจำคุณ (‘PII’) โดยเฉพาะเนื่องจากคุณต้องมีบัญชีกับ Google ก่อนที่จะลงทะเบียนเพื่อสร้างบัญชีเราจะรวบรวม PII (เช่นที่อยู่อีเมล Google ของคุณ …) ที่การตั้งค่าความเป็นส่วนตัวของคุณกับ Google … อนุญาตให้เราเข้าถึง

และแย่กว่านั้น:

“ หลังจากการยกเลิกหรือปิดการใช้งาน … บัญชีของคุณ Niantic ลูกค้า บริษัท ในเครือหรือผู้ให้บริการอาจเก็บข้อมูล … และเนื้อหาของผู้ใช้ในช่วงเวลาที่สมเหตุสมผลในเชิงพาณิชย์…”

หากคุณเป็นคนที่เก็บสมบัติโปเกมอนไว้เหนือความเป็นส่วนตัวของคุณให้ดำเนินการต่อราวกับว่าไม่มีอะไรเกิดขึ้น หากคุณต้องการเก็บบัญชี Google ไว้กับตัวเองคุณควรเพิกถอนการเข้าถึง (รายงานการเพิกถอนการเข้าถึงจะไม่มีผลกับโปเกมอนที่คุณหามาได้ยาก)

หากคุณยังไม่ได้สมัครใช้งานบัญชี Google Burner ด้วยฐานผู้ใช้ที่ยิ่งใหญ่และเติบโตในแต่ละวันการหาประโยชน์ไม่สามารถอยู่เบื้องหลังได้