Molti utenti hanno segnalato un comportamento anomalo dell’applicazione Pokémon GO sviluppata da Niantic. L’applicazione può utilizzare un proprio WebView, integrato nell’app, per l’accesso al proprio account Google e, una volta consentito l’accesso, si dà pieno accesso a tutti i dati personali. Il problema è limitato alla sola versione di Pokémon GO per iOS.
Android Central ha contattato Niantic per chiedere spiegazioni sul perché Pokémon GO chiedesse il completo accesso all’account Google. La risposta è stata la seguente:
Abbiamo recentemente scoperto che il processo di creazione dell’account Pokémon GO per iOS richiede, erroneamente, accesso completo all’account Google dell’utente. Tuttavia, Pokémon GO accede solo ad informazioni di base del profilo Google (in particolare, l’ID utente e indirizzo email) e nessun altra informazione contenuta nell’account Google è o è stata prelevata. Una volta che siamo venuti a conoscenza di questo errore, abbiamo iniziato a lavorare su una correzione, lato client, per richiedere il permesso solo alle informazioni di base del profilo di Google, in linea con i dati che di cui abbiamo effettivamente bisogno. Google stessa ha verificato che nessuna informazione è stata prelevata da Pokémon Go o Niantic, all’infuori dell’ID e della email. Google provvederà presto a ridurre i permessi concessi a Pokémon GO, limitandoli ai soli dati di base del profilo.
Il problema dei permessi, in ogni caso, sembra essere limitato alla sola versione per iOS di Pokémon GO. Su Android, Pokémon GO (qui disponibile l’apk di Pokemon Go), sembra utilizzare i permessi nel modo corretto, non richiedendo l’accesso a dati sensibili del proprio account.
Ad ogni modo, gli utenti iOS potranno comunque stare tranquilli senza necessità di allarmarsi: Apple applica metodi di controllo rigidi e sicuri per le applicazioni prima che vengano pubblicate. Google avrebbe preferito, sicuramente, che l’utente fosse indirizzato al browser web predefinito, in maniera tale che l’URL potesse essere controllato, anziché utilizzare un proprio WebView.
Le preoccupazioni sono comunque giustificate perché un’applicazione che detiene l’accesso completo all’account Google di un utente, ha accesso a moltissimi dati sensibili: Quando si concede l’accesso completo all’account, l’applicazione può visualizzare e modificare quasi tutte le informazioni contenute nell’account Google (ma non può modificare la password, eliminare l’account, o pagare con Google Wallet a vostro nome).
In sostanza, tutto ciò che si è fatto con Google, come il contenuto salvato su Drive, backup delle fotografie, cronologia delle posizioni e email, è piena disponibilità di Niantic e dell’applicazione stessa.
Naturalmente non vogliamo credere che Niantic o Nintendo si mettano a sfogliare le nostre foto, ma cosa accadrebbe se qualcuno, attraverso una falla di sicurezza, trovasse il modo di sfruttare questa “risorsa”? Questo non è buono. Per niente buono.
TecnoYouth si unisce al consiglio dato da Android Central: meglio utilizzare un account Google separato se si sta andando a giocare a Pokémon GO sul proprio iPhone. In alternativa è possibile decidere di non concedere tutti i permessi, eliminandoli tramite la pagina di sicurezza di Google.
Lascia un commento