神奇宝贝GO是“恶意软件”和“巨大的安全风险”：安全专家

如果你过去一周一直生活在岩石下， 神奇宝贝GO 是一款极受欢迎的增强现实手机游戏。它已经击败了Tinder，并在日常活跃用户中与Twitter相媲美。这个游戏只有五天了，iOS App Store上已有近50,000条评论。人们花费更多时间寻找神奇宝贝，而不是花在WhatsApp，Instagram，Snapchat或Facebook Messenger上。

成功了 神奇宝贝GO 非常适合它的创造者Niantic，以及下载它的数百万人。除了一件事：存在一个主要的安全漏洞，并且没有人确定它存在的原因。

游戏发布两天后，安全专家Adam Reeve在Twitter上发布了有关漏洞的推文。由于游戏需求巨大，新用户 - 如果负担过重的服务器正常运行 - 被迫使用Google帐户登录。那些这样做的人就可以开始玩了。但是，谷歌和谷歌都没有 神奇宝贝GO 应用程序本身警告新用户他们牺牲了多少隐私。

事实证明，这是非常多的。

“完全访问。”这应该听起来有点多。它是。 Reeve在他的博客上写了一篇名为“Pokemon Go是一个巨大的安全风险”的帖子。在他发布链接到帖子的推文中，他称应用程序为恶意软件。最大的收获是“完全访问”只是意味着：

Pokemon Go和Niantic现在可以：

• 阅读所有电子邮件
• 发送电子邮件给你
• 访问所有Google云端硬盘文档（包括删除它们）
• 查看您的搜索历史记录和地图导航历史记录
• 访问您可能存储在Google相册中的所有私密照片
• 还有更多

访问权限影响了所有iOS用户并选择了Android用户。要查看您自己是否已放弃对帐户的访问权限，请查看此处。

所以@NianticLabs似乎_some_口袋妖怪去安装正在获得对链接的谷歌帐户的完全访问权限。知道为什么吗？

- Adam Reeve（@adamreeve）2016年7月11日

Niantic几乎没有理由拥有这么多的访问权限。里夫写道，“最佳实践（和简单的逻辑）决定”应用程序要求提供所需的最少信息 - “这通常只是简单的联系信息。”因此，里夫猜测这是一个疏忽 - 尽管是 大 监督 - 代表Niantic。

“这可能只是史诗般疏忽的结果。但我对Niantic的安全政策一无所知。我不知道他们将如何保护他们自己给予的这种令人敬畏的新力量，坦率地说，我根本不相信他们。我已撤消对帐户的访问权限，并删除了该应用。我真的希望自己可以玩，看起来很有趣，但是没有办法让它值得冒险。“

不过，还有一些可疑的东西。当应用程序请求权限时，Google应该快速通知用户他们授予了多少权限。在这种情况下，没有这样的提示：用户创建了一个帐户，并且 - 他们不知道 - 放弃了完全访问权限。

问题不是Pokemon Go可以访问您的Google帐户，而是谷歌从未要求您授予其访问权限。不可能。

- SecuriTay（@SwiftOnSecurity）2016年7月11日

此外，Niantic还没有消除顾虑：发言人告诉他们 Ars Technica 只有以下内容：“此刻暂无评论。”

要么谷歌搞砸了，要么Niantic正在进行浏览器自动化，以编程方式同意谷歌的安全警告。主要问题无论如何。

- SecuriTay（@SwiftOnSecurity）2016年7月11日

Niantic自己的 神奇宝贝GO 隐私政策包括以下内容 - 鉴于上述情况 - 似乎具有误导性：

“在游戏过程中以及当您…注册以创建我们的帐户时…我们将收集可用于识别或识别您的某些信息（'PII'）。具体而言，由于您在注册创建帐户之前必须拥有Google帐户，我们将收集您的隐私设置与Google允许我们访问的PII（例如您的Google电子邮件地址…）。

更糟糕的是：

“在终止或停用您的…帐户后，Niantic，其客户，关联公司或服务提供商可能会在商业上合理的时间段内保留信息……和用户内容……”

如果你是一个在你的隐私上珍惜你的神奇宝贝的人，那么就像没有发生任何事情一样继续。如果您希望自己保留自己的Google帐户，则应撤消访问权限。 （据说撤销访问权限不会影响你辛苦赚来的神奇宝贝。）

如果您尚未注册，只需使用刻录机Google帐户即可。随着用户群的庞大和日益增长，漏洞利用不会落后。