[新聞] Pokemon Go存在安全風險,直接獲取玩家Google帳號「完整權限」消失
1.媒體來源:
數位時代
2.完整新聞標題:
Pokemon Go存在安全風險,直接獲取玩家Google帳號「完整權限」
3.完整新聞內文:
《Pokemon Go》是任天堂 Pokemon(精靈寶可夢)系列的最新遊戲,由 Niantic Labs 共
同開發,也是第一款 Pokemon 手遊。不需多說,看到這篇文章的你,多半正在玩或者已
經下載好了遊戲。
但國外玩家發現,《Pokemon Go》存在嚴重的帳號安全風險。
遊戲提供兩種登入方式:Google 或 Pokemon Go 訓練師俱樂部(pokemon.com)。在歐美
幾
乎人人都有 Google 帳號,而之前 pokemon.com 由於技術故障無法接受新用戶註冊,因
而大部分玩家都在用 Google 帳號登入。
玩家Adam Revee 注意到,使用Google 帳號登入之後,《Pokemon Go》直接獲取了Google
帳號的「完整帳號權限」(full access)。 Adam Revee 在自己的部落格上記錄了這一
發現,被Twitter上的æ¸æå®å
¨å°å®¶@SwiftOnSecurity 轉發,引起了安全界的廣泛關注。
Pokemon Go doesn't just use Google for sign-in, they have access to your entir
e account
(h/t @ConwayAnderson) pic.twitter.com/oWG15NfjWC
— SecuriTay (@SwiftOnSecurity)
2016年7月11日
IMPORTANT: Are you a Pokemon Go user on iOS? Revoke their access to your email
and files.
https://t.co/FYVqYEtXGl pic.twitter.com/vxiIvyINgm
— SecuriTay (@SwiftOnSecurity)
2016年7月11日
我在手機上檢查了自己的帳號,發現《Pokemon Go》的確標記為擁有整帳號權限,相同待
遇的只有 Chrome 瀏覽器。
http://i.imgur.com/DjsVvID.jpg
為了重現這個事件,我打開遊戲,抓了附近的兩隻小精靈,等完服務器同步(儲存)的過
程,然後打開選單,登出(sign out)自己的帳號,退出遊戲。接下來,我點擊上面的 R
emove 按鈕撤銷了「Pokemon Go Release」的權限。
然後我重新打開遊戲,並使用 Google 帳號登入。更嚴重的問題出現了:輸入 Google 帳
號→輸入密碼並確認後,直接進入了遊戲的讀取界面,並沒有彈出一個權限確認的選單。
http://i.imgur.com/v9gm6MI.jpg
一般來說,使用 Google 帳號登入的第三方服務,在輸入帳號密碼之後會出現下圖這樣的
界面,要求你確認第三方服務可使用的權限。
http://i.imgur.com/Nnsoq9i.jpg
為什麼不讓用戶確認權限?
@SwiftOnSecurity 指出,登入界面的確係 Google 的 OAuth 界面,如假包換。但問題在
於 Niantic Labs 可能設置了瀏覽器自動化,跳過了權限確認頁面,自動幫用戶點了按鈕
——這是嚴重的安全事故。
當您向應用授予完整帳戶權限後,該應用幾乎可以查看和修改您 Google 帳戶中的所有信
息(但不能更改密碼、刪除帳戶,或以您的名義使用 Google 電子錢包付款)。
該應用可查看你的郵件;以你的身份發郵件;獲取你Google Drive 雲端硬碟裡的所有文
件,包括已經刪除的;調取你的搜索記錄,包括地圖裡的導航記錄;看任何你在Google P
hotos 裡備份的照片,包括隱私照片;了解或修改其他各種各樣的資料;登入其他用Goog
le 帳號登入的服務。
至於由 Niantic Labs 和任天堂旗下 Pokemon Company 這兩家還算知名的公司共同開發
的遊戲,為何出現如此嚴重的帳號權限事故,除了粗心大意,恐怕暫無其他解釋。前面也
有提到,「某些 Google 應用可能具有完整權限」,或許是 Niantic Labs 從 Google 旗
下拆分之後,沒有及時更新自己的開發工具,仍然以為自己開發的是 「Google 應用」吧
?
身為架構工程師的 Adam Renee 表示,他並非懷疑 Niantic Labs 會拿著用戶 Google 帳
號的完整權限胡作非為。問題在於,Niantic Labs 的數據安全水平如何,在業界並沒有
公開的資料。更何況現在《Pokemon Go》如此火紅,難免有駭客盯上這座數據金礦,誰也
無法保證之前發生在網易、CSDN、Yahoo、Target 等公司內的數據洩露事故,不會發生在
Niantic Labs 身上(已經有駭客修改遊戲的Android APK 安裝套件,在遊戲裡添加惡意
程式碼。)
目前 Niantic Labs 尚未對此做出回應。
4.完整新聞連結 (或短網址):
http://www.bnext.com.tw/ext_rss/view/id/1827918
5.備註:
準備好脫光光讓駭客駭了嗎~
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.204.161.10
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1468560742.A.0BC.html
※ 編輯: coffeeee (180.204.161.10), 07/15/2016 13:33:22
噓
07/15 13:32, , 1F
07/15 13:32, 1F
什麼的更新啊,資安的更新可以幾天內完成我是不相信啦
推
07/15 13:33, , 2F
07/15 13:33, 2F
兩個都一起中哦
噓
07/15 13:33, , 3F
07/15 13:33, 3F
→
07/15 13:33, , 4F
07/15 13:33, 4F
推
07/15 13:33, , 5F
07/15 13:33, 5F
→
07/15 13:34, , 6F
07/15 13:34, 6F
推
07/15 13:34, , 7F
07/15 13:34, 7F
他們已經分家囉~
推
07/15 13:36, , 8F
07/15 13:36, 8F
有些人為了這個還去下載來源不明的輔助app呢?
結果一開始的資安概念就很差
※ 編輯: coffeeee (180.204.161.10), 07/15/2016 13:38:19
噓
07/15 13:37, , 9F
07/15 13:37, 9F
推
07/15 13:38, , 10F
07/15 13:38, 10F
推
07/15 13:40, , 11F
07/15 13:40, 11F
你突破盲點了XD
推
07/15 13:41, , 12F
07/15 13:41, 12F
噓
07/15 13:46, , 13F
07/15 13:46, 13F
推
07/15 13:46, , 14F
07/15 13:46, 14F
※ 編輯: coffeeee (180.204.161.10), 07/15/2016 13:51:05
推
07/15 13:56, , 15F
07/15 13:56, 15F
→
07/15 13:57, , 16F
07/15 13:57, 16F