任天堂和Niantic Labs联合开发的手游Pokémon Go(中译名口袋妖怪、宠物小精灵、精灵宝可梦)短短几天已经刷足了存在感,自从7月6号发布以来,其用户活跃度已逼近Twitter,安卓用户安装量已经超过Tinder...但与此同时,其负面消息也接踵而来。
玩家在体验过程中受伤的案例逐渐增多,人身安全受到不同程度的威胁,更加值得警惕的是,下一步,玩家的Google账户安全也可能受到严重的威胁。
美国玩家发现,Pokémon Go的火爆可能导致数以百万计的iPhone用户在用Google注册游戏时,不经意间就泄露了整个Google账户信息——从邮件到历史访问记录。
由于目前Pokémon Go只提供两种登陆方式:谷歌账户或Pokémon训练师俱乐部(pokemon.com)帐号。一方面是在欧美几乎人人都有谷歌账户,另一方面之前pokemon.com由于技术故障而无法接受新用户注册,因此目前大部分玩家其实都在使用谷歌账户来玩Pokémon Go。
然而美国玩家Adam Revee注意到,使用 Google 账户登陆之后,Pokémon Go直接获取了谷歌账户最高等级的“完整权限”(full access),而这一待遇通常只有Chrome等谷歌旗下产品才能获得。
Adam Reeve称:“我一时兴起,想看看Pokémon Go被授予了哪些权限。注册完之后,说实话,我愣住了:Pokémon Go拥有完整访问权限(full access)。”
对此,Google官方支持页面有如下一段描述:
当您向应用授予完整帐户权限后, 该应用几乎可以查看和修改您 Google 帐户中的所有信息 (但不能更改密码、删除帐户,或以您的名义使用 Google 电子钱包付款)。
某些 Google 应用可能具有完整帐户权限。例如,您可能会看到,您下载到 iPhone 的“Google 地图”应用具有完整帐户权限。
请仅将“完整帐户权限”授予您完全信任且已安装到您的个人计算机、手机或平板电脑上的应用。
更具体一点说,具备了完整权限的应用可以随时查看你的Gmail邮件,可以以你的身份发送邮件,可以获取/删除你存储在Google Drive云盘里的任何文件,可以查看Google Photos里备份的所有隐私照片等等。如果获取此权限的第三方应用安全性不高,或将引发非常严重的隐私泄露事件。
Reeve相信,这款由Niantic开发的游戏可获得完整权限仅仅是想让玩家登录游戏,别无他意。“很显然,Niantic的野心并没有强大到要策划一个全球范围的个人信息抢劫案,这应该就是粗心大意的结果,他们疏忽了。”
问题在于,Niantic Labs 的数据安全水平如何,在业界并没有公开的资料。更何况现在《Pokémon Go》如此火爆,难免有黑客盯上这座数据金矿,谁也无法保证之前发生在网易、CSDN、雅虎、Target 等公司内的数据泄露事故,不会发生在 Niantic Labs 身上。
不过,Reeve承认,为了杜绝风险,他已经删除了他的账户。“但是,不得不说,我并不了解Niantic的安全政策,也不清楚Niantic会怎么守好他们自己授予的强大权限,坦白说,我根本不相信他们。我已经吊销了我的账户,游戏也删了。真的很想玩这个游戏,但没办法,我不想冒险。”
关于上述这些严重的安全隐患,任天堂和Niantic Labs目前还没有公开回应。
Pokémon Go如此火爆,大家在游戏的同时记得要注意人身安全,更记得要保护好自己的个人信息安全,具体做法可以删除其访问权限,然后申请一个新的邮箱进行登陆,最后祝大家抓住所有的小精灵!
【澳洲精品】Lamisil cream脚气膏彻底根治脚气,告别臭脚尴尬!
稍纵即逝的好机会:Mascot Central楼花转让,品质高档,交通便利!
