Pokemon Go уличили в получении полного доступа к учетной записи Google

SecurityLab уже писал об обнаружении вредоносной версии нашумевшей игры Pokemon Go, устанавливающей троян DroidJack на Android-смартфоны. Как оказалось, не все так просто и с легитимной версией игры. Дело в том, что разработчики Pokemon Go без ведома игроков могли получить полный доступ к почте, фотографиям и прочей конфиденциальной информации пользователей, авторизованных в игре с помощью учетной записи Google.

На проблему обратил внимание исследователь в области информационной безопасности Адам Рив (Adam Reeve). Как заметил эксперт при попытке авторизоваться в игре, Pokemon Go имеет полный доступ к учетной записи Google. Согласно странице поддержки компании, это значит, что приложение может просматривать и модифицировать всю информацию в аккаунте. В частности, просматривать почту и фотографии, отправлять сообщения от имени пользователя, получить доступ ко всем документам, удалять их, просматривать историю поиска и пр. По словам Рива, проблема затрагивает в основном владельцев iOS-устройств.

Согласно официальному заявлению разработчика игры компании Niantic, чрезмерные права Pokemon Go получала по ошибке, которая вскоре будет исправлена. Игра собирает только идентификатор пользователя и адрес электронной почты и не затрагивает какие-либо другие данные. В Google подтвердили эту информацию.