Hittipelistä paljastui vakava virhe: Riski iPhone-käyttäjille

Julkaistu: , Päivitetty:

Nopeasti hittipeliksi noussut Pokemon Go -peli vaatii iPhone-puhelimissa täydet oikeudet muun muassa käyttäjän Gmail-sähköpostiin. Peliyhtiö aikoo korjata virheen.
Yhdysvalloissa nopeasti mobiilipelihitiksi noussut Pokemon Go on paljastunut suureksi tietoturvariskiksi erityisesti iPhone-puhelimien omistajille, kertoo Adam Reeve RedOwl-tietoturvayhtiöstä blogissaan.

Pelin asennuksen jälkeen siihen on kirjauduttava Googlen palveluiden käyttäjätunnuksella ja salasanalla. IPhone-puhelimissa kirjautuminen johtaa siihen, että peli saa täydet oikeudet pelaajan kaikkiin Google-palveluihin, kuten Gmail-sähköpostiin, Google Drive-palveluun tallennettuihin tiedostoihin, haku- ja karttatietoihin, Googlelle tallennettuihin valokuviin sekä kaikkiin muihin Googlen palveluihin.

Pokemon Go -peli ja sen kehittänyt Niantic-yhtiö pystyy siis esimerkiksi lukemaan iPhone-käyttäjien Gmail-sähköposteja sekä lähettämään sähköposteja heidän nimissään.

Android-puhelimien omistajat voivat sen sijaan rajoittaa pelin saamia oikeuksia yksitellen.

Reeve huomauttaa, että sovellusten tekijöillä ei ole mitään syytä vaatia täysiä oikeuksia Google-palveluihin, vaan he voivat rajoittaa, mihin tietoihin sovellus pääsee käsiksi.

Niantic on jo kommentoinut Reeven löytöä, ja tunnustaa, että kyseessä on virhe. Esimerkiksi Polygon-verkkopalvelulle lähettämässään viestissä peliyhtiö toteaa, että peli käyttää vain Google-tilien tunnistetietoja, eli käyttäjän Gmail-osoitetta ja käyttäjätunnistetta. Myös Google vahvistaa, ettei sovelluksen kautta ole käyty pelaajien muissa tiedoissa.

Yhtiö aikoo korjata mahdollisen tietoturva-aukon ohjelmistopäivityksellä. Myös Google aikoo rajoittaa Pokemon Go -pelin oikeuksia omien palvelujensa hallinnan kautta.

Kommentit

    Näytä lisää