Pokemon Go kan have fuld adgang til din Google-konto

Hvis du bruger din Google-konto til at logge ind i Pokemon Go-spillet, kan den populære app tage sig nogle gevaldige friheder og opnå den størst mulige adgang til al data via Google - uden at spørge om lov eller oplyse om det.

Sjældent har en app - og i særdeleshed et spil - fået så meget omtale på det seneste som Pokemon Go. Spillet som lader dig fange Pokemons gennem din smartphone har allerede ført til ulykker, ligesom vi på Version 2 i går kunne berette, at de danske Android-brugere potentielt kan udsætte sig selv for malwareangreb, når de installerer spillet.

Læs også: Pokemon Go-mani kan gøre Android-telefoner sårbare for malware-angreb

Nu er endnu en skyggeside ved det populære og stærkt vanedannende spil blevet dokumenteret.

Bruger du din Google-konto til at logge ind i spillet, risikerer du at servere al data tilgængelig via Google på et sølvfad for appen. Eller for at være mere præcis: Pokemon Go kræver fuld adgang til din Google-konto, og den fortæller dig det ikke.

Det skriver blandt andre TechCrunch.

Den suspekte opførsel blev opdaget af Adam Reeve fra overvågningsbekæmpergruppen Red Owl, som fortalte om sin opdagelse på hans blog under overskriften ‘Pokemon Go er en stor sikkerhedsrisiko’. Her fremgår det, at man kun kan logge ind ved at tilkoble en allerede eksisterende bruger på enten pokemon.com eller Google.

»Jeg startede spillet, trykkede på Google-knappen og blev omdirigeret for at logge ind. Normalt vil man se en lille besked, som fortæller, hvilke data appen vil kunne tilgå - noget i stil med ‘denne app vil kunne se din email-adresse og navn’. Af en eller anden grund, kommer den ikke frem i det her tilfælde, men jeg fortsatte og loggede ind. Derefter - i et indfald - gik jeg ind og kiggede, hvilke tilladelser det havde fået. Jeg var en smule lamslået for at sige det mildt,« skriver Adam Reeve blandt andet i bloggen.

Det var denne melding, Adam Reeve fik, da han tjekkede, hvilke tilladelser Pokemon Go havde givet sig selv. Spillet havde givet sig selv fuld adgang til hans Google-konto uden at have oplyst om det eller spurgt om lov. Illustration: TechCrunch

Teknologimediet TechCrunch har prøvet at installere spillet på tre forskellige telefoner. Èn, der kører Android 5.2 og to med Android 6.0. Telefonen med 5.2 og den ene 6.0-telefon havde ikke givet spillet fuld adgang til Google, men den anden telefon med Android 6.0 havde givet fuld tilladelse uden at hverken spørge eller oplyse om det.

Læs også: Android-apps er på vej til Chrome OS - sådan rigtigt

Samme medie skriver også, at det angiveligt heller ikke er alle telefoner med iOS, der giver ubegrænset adgang.

Udviklerne af Pokemon Go hedder Niantic Lab, og de har allerede taget til genmæle over for Adam Reeves kritiske blog. I et svar til mediet Polygon skriver de, at Pokemon Go aldrig vil tilgå andet end bruger id og email-adresse.

»[...] Pokemon Go tilgår kun grundlæggende Google-profiloplysninger (specifikt dit bruger-id og email-adresse) og ingen andre Google kontooplysninger er eller har været tilgået eller indsamlet. Da vi blev klar over denne fejl, begyndte vi at arbejde på en klientside-rettelse til kun at anmode om tilladelse til grundlæggende Google-profiloplysninger i overensstemmelse med de data, vi faktisk tilgår. Google har bekræftet, at ingen andre oplysninger er modtaget eller tilgået af Pokemon Go eller Niantic,« lyder det i Niantics svar.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
David Askirk Fotel

Det er kun på iOS. Det med android var kun fordi der også var en iPhone tilknyttet samme konto.

Det kan man gøre er at man logger ind, og derefter revoker adgangen. Så kører app'en stadig videre så længe den ikke bliver lukket ned.

Niantic arbejder på en ny løsning, og google arbejder også på en løsning

Log ind eller Opret konto for at kommentere