נרשמתם דרך גוגל? לפוקימון גו יש הרשאות מלאות לאימייל, מסמכים ועוד

חוקר אבטחה גילה כי פוקימון גו, האפליקציה הפופולרית של ניאנטיק, מקבלת הרשאות מלאות לחשבון גוגל; החברה וגוגל הבטיחו לתקן את המצב

עודד ירון
מעבר לטוקבקיםכתוב תגובה
הדפיסו כתבה
עודד ירון

ההתפוצצות בפופולריות של פוקימון גו הביאה אתה גם כמה סיפורים בעייתיים, מצעירה שמצאה גופה צפה בנהר ועד חשודים שניצלו את האפליקציה כדי לשדוד משתמשים. אבל מסתבר שזה לא נגמר בכך, וגם האפליקציה עצמה סובלת מבעיות אבטחה אינהרנטיות. המפתחת, חברת Niantic הודתה בבעיות והבטיחה לתקן אותן.

חוקר אבטחה בשם אדם ריב גילה שההרשאות שהאפליקציה לוקחת לעצמה ממשתמשים שמתחברים באמצעות חשבון גוגל עלולות להוות סכנה לאבטחה ולפרטיות של המשתמשים.

פוקימון גו
פוקימון גו

ריב כתב כי התקין את האפליקציה ותהליך ההתקנה של הוא הבחין שהיא לא הקפיצה את האזהרה הקבועה על ההרשאות שהאפליקציה לוקחת לעצמה. אז הוא החליט לבדוק את העניין וגילה שהיא מקבלת גישה מלאה לחשבון. הוא הסביר כי האפליקציה יכולה לקרוא את האימיילים שלכם, ולשלוח מיילים בשמכם; בנוסף היא יכולה לגשת לכל המסמכים בגוגל דוקס, ולתמונות הפרטיות בשירות התמונות שלגוגל, כמו גם להיסטוריית הגלישה שלכם. "חוץ מזה, בהינתן מנגנון הזדהות האימייל (חשבו על "שכחתי סיסמה") יש להם סיכוי טוב להשגת גישה לחשבונות שלכם באתרים אחרים גם".

בעיה נוספת עלולה להתעורר אם האקרים מוצאים דרך לפרוץ לאפליקציה, מפני שאז יכולה לספק להם גישה לאותן הרשאות.

ניאנטיק הבטיחה לתקן את המצב. היא מסרה ל-Polygon כי "פוקימון גו ניגשת רק למידע בסיסי בפרופיל גוגל (ספיציפית זיהוי המשתמש וכתובת האימייל) לא ניגשנו או אספנו שום מידע נוסף בחשבון גוגל. ברגע שקיבלנו מידע על הטעות, התחלנו עלבוד על תיקון בצד התוכנה כדי לתקן את ההרשאות הנדרשות למידע הבסיסי בלבד מחשבון גוגל, בהתאם למידע שאנחנו באמת ניגשים אליו. גוגל אישרה שניאנטיק או פוקימון גו לא קיבלו או ניגשו לשום מידע אחר. גוגל תגביל בקרוב את ההרשאות של פוקימון גו למידע הבסיסי של הפרופיל שהאפליקציה זקוקה לו, ומשתמשים לא צריכים לנקוט בשום פעולה בעצמם".

תגובות

משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ