译者注:原文来自HackerNews,首发tumblr,标题为Pokemon Go is a huge security risk。作者Adam Reeve,附一张这个胖子的帅照
(正文)之所以会写这篇文章,是因为没有看到有其他人讨论这个问题,这个困扰着我的问题。Pokemon Go是著名游戏公司任天堂最新推出的一款游戏(虽然它的实际开发者是Niantic),同时应该也是我们玩的第一款任天堂手游。这款游戏现在到底有多火,这就不需要多说了,反正就是热到不行。我认识的人里面,几乎没有一个人不在玩宠物小精灵。
然而,有一个漏洞被所有人都忽视了。
你需要一个游戏账号,才能进入妙蛙种子和杰尼龟的世界.怪异的是,Niantic并不允许你创建一个独立账号,而是需要通过pokemon.com或者Google的账号登入游戏。由于某些原因,现在Pokemon官网已经不允许新注册账号了,所以新玩家就必须通过Google账户才能进行登录,而这就是最值得注意的地方了。
我打开游戏,点击“通过Google账户”的按钮,然后直接登录。通常来说,你会看到一行小字说这个app会获取什么样的权限,类似“该应用将能够获取你的邮箱地址和用户名”。由于种种原因,在玩《宠物小精灵》的时候,我并没有看到这一类的提示信息,但我还是继续登录。过了一阵子,我突然心血来潮想看看到底授权了哪些权限。结果我惊讶地发现:
Pokemon Go获取了我Google账户的所有权限!
在Google帮助页面里,我们可以看到“app获取所有权限”到底意味着什么:如果你授予了所有权限,该应用可以浏览和修改你的google账户里的所有信息。建议只给那些安装在你的私人电子设备的、你完全信任的应用授予此等权限。
说得更直白一些就是,现在Pokemon Go和Niantic可以:
- 看你的所有电子邮件
- 以你的名义发送电子邮件
- 下载或删除你Google云里的所有文件
- 看你的搜索记录和google地图到过哪些地方
- 获取你存储在Google Photos上的所有照片
- 以及进行更多你意想不到的行为
还有,只要他们想,大可以通过你的邮箱进入到你在其他网站的账号,因为大多数网站都可以通过邮箱修改密码。
其实这款游戏根本不需要这么做。一般的做法是,游戏开发者只需要利用“通过Google登录”(译者注:类似许多app通过微信登录一样)的接口就能获取必要的信息,通常是简单的联系信息。
我并不认为Niantic是在有意地进行“全球范围内的私人信息窃取”,很可能只是一次无心之失的结果。但是,由于完全不了解Niantic的安全政策是怎样的,我也一点都不知道他们到底会怎样保护这些可能会造成巨大影响的账户权限信息,所以我觉得自己完全不能信任他们。我取消了所有的权限授予,并且删除了这款游戏。
我真的很想玩下去,因为看上去就非常有趣,但是还没有好玩到值得冒这么大的风险。
(我的个人微信公众号:scut_xiaoy,搜索ID或扫描下方二维码添加关注,关注程序员自身成长和互联网时代下的新变化)