소셜 미디어에서 Pokémon GO 앱에 대해 이야기하고있는 일부 보안 문제가있을 수 있습니다. 이는 매우 유효한 문제입니다. 응용 프로그램은 자체 웹뷰 컨테이너를 사용하여 Google 계정에서 로그인 할 수 있으며 승인되면 모든 데이터에 대한 전체 액세스 권한을 갖습니다.
우리는 Pokémon Go 앱을 개발 한 Niantic에 연락했습니다. 월요일 저녁 늦게 언론에 답변을했다. ABC 뉴스 는 트위터에서 가장 먼저 공유 한 뉴스 중 하나였으며 Niantic은 Android Central에 동일한 응답을 발행했습니다.
진술은 다음과 같이 읽습니다.
최근 iOS에서 Pokémon GO 계정 생성 프로세스가 사용자의 Google 계정에 대한 전체 액세스 권한을 잘못 요청한다는 사실을 발견했습니다. 그러나 Pokémon GO는 기본 Google 프로필 정보 (특히 사용자 ID 및 이메일 주소)에만 액세스하며 다른 Google 계정 정보에 액세스하거나 수집하지 않았습니다. 이 오류를 알게되자 실제로 액세스 한 데이터에 따라 기본 Google 프로필 정보에 대한 권한을 요청하기 위해 클라이언트 측 수정 작업을 시작했습니다. Google은 Pokémon Go 또는 Niantic이 다른 정보를 수신하거나 액세스하지 않았 음을 확인했습니다. Google은 곧 Pokémon GO에 필요한 기본 프로필 데이터에 대한 Pokémon GO의 권한을 줄이며 사용자는 별도의 조치를 취할 필요가 없습니다.
원본 게시물은 다음과 같습니다.
좋은 소식은 이것이 iOS 전용 문제인 것 같습니다. Android에서 앱은 "신속한"방법을 사용하여 Google 자격 증명으로 로그인 한 것으로 보이며 민감한 계정 데이터에 대한 액세스를 요청하지 않습니다. 여기서 직접 확인할 수 있습니다. 실제로 iPhone을 사용하지 않은 계정으로 로그인하면 Pokémon GO 앱에 액세스 권한이없는 것으로 표시됩니다. 같은 것을 보더라도 놀라지 마십시오.
첫 번째 관심사 인 웹뷰 컨테이너 로그인 페이지는 그다지 문제가되지 않습니다. Apple은 앱이 이러한 종류의 작업을 수행 할 수있는 안전한 방법을 가지고 있습니다 (Google은 사용자를 기본 웹 브라우저로 안내하여 URL을 확인할 수 있음). 모든 앱은 게시되기 전에 Apple 직원이 심사합니다. 그렇습니다. Apple조차도 문제를 해결할 수 있지만 계정 인증 페이지는 합법적입니다. 우리는 확인했다. 그리고 수백만의 사용자가 확인했습니다.
두 번째 관심사 인 모든 Google 계정 데이터에 대한 액세스는 훨씬 더 문제가됩니다.
이 수준의 액세스는 게시자가 모든 것을 볼 수 있음을 의미합니다. 구글에 따르면:
전체 계정 액세스 권한을 부여하면 애플리케이션에서 Google 계정의 거의 모든 정보를보고 수정할 수 있지만 비밀번호를 변경하거나 계정을 삭제하거나 Google 월렛을 대신하여 결제 할 수는 없습니다.
특정 Google 애플리케이션은 전체 계정 액세스로 표시 될 수 있습니다. 예를 들어 iPhone 용으로 다운로드 한 Google지도 응용 프로그램에 모든 계정 액세스 권한이 있음을 알 수 있습니다.
이 "전체 계정 액세스"권한은 사용자가 완전히 신뢰하고 개인용 컴퓨터, 전화 또는 태블릿에 설치된 응용 프로그램에만 부여해야합니다.
그리고 더. 기본적으로 Google에 로그인 한 상태에서 수행 한 모든 작업과 드라이브 또는 사진에 저장 한 모든 내용은 Niantic 및 앱 자체에 공개됩니다.
이제 Niantic 또는 Nintendo가 귀하의 계정 데이터를 통해 구멍을 뚫거나 사진을 보지 않을 것이라고 생각하지 않습니다. 그러나 누군가 Niantic을 해킹하는 방법을 찾으면 어떻게 될까요? 올바른 데이터베이스에 액세스하면 모든 공격자가 모든 "물건"을 제공하는 토큰을 가질 수 있습니다. 그 좋지 않다. 전혀 좋지 않습니다.
iPhone에서 Pokémon Go를 재생하려면 별도의 Google 계정을 사용하는 것이 좋습니다. 또는 전혀 재생하지 않기로 결정하고 Google 보안 페이지에서 권한을 삭제할 수 있습니다.
중요한 것은 무슨 일이 일어나고 있는지 아는 것입니다.
