皮卡丘是資安大盜?為何 Pokemon:GO 可以獲得你的 Gmail、網頁瀏覽紀錄訊息?

【為什麼我們需要挑選這篇文章】雖然鎖區、台灣不開放 Pokemon 的消息一直不斷傳出(反正鄉民都還是有辦法跨區玩到)。

Screen Shot 2016-07-12 at 12.47.29 PM

但抓神奇寶貝之餘也有個重要問題得思考。一隻皮卡丘值得你付出多少的個人資訊安全去換呢?(責任編輯鄒昀倢)

Pokemon Go 的火爆程度不必多言,單是 任天堂 90 億美元的市值飆升 ,足以說明這一點。但是一片火熱的背後,卻潛伏著一些不易察覺的問題。

所有 Pokemon Go 的玩家都知道,要想玩上這個遊戲,需要通過 Google 帳號或者 Pokemon 訓練師俱樂部的帳號註冊登錄。出於方便考慮,許多用戶會選擇使用 Google 帳號直接登錄。然而,有人發現,無論是在 Android 手機還是在 iPhone 上,通過 Google 登錄 Pokemon Go 時,它會默認獲取用戶的最高權限。

這就意味著,Pokemon 可以讀取用戶的 Gmail、Docs、地址、網頁瀏覽歷史等各項訊息 。那麼問題來了:

作為一款遊戲,Pokemon 為什麼需要這些?為什麼用戶未被告知?

來看一下 Google 對於最高權限的描述:

當你授權最高權限之後,被授權的應用將可以查看並修改你的 Google 帳戶的幾乎所有訊息(當然,不能修改密碼、刪除帳戶、使用 Google Wallet 支付)。

這種「最高權限」應該只授權給你高度信任的應用,最好是只安裝在你個人 PC、手機和平板電腦上的應用。

理論上,在 Pokemon Go 遊戲中,並不需要獲得遊戲相關之外的其他個人訊息,擁有最高的帳戶權限完全沒有必要。其次,在獲取用戶最高權限的過程中,用戶應該得到提醒,並且給出一定的考慮時間和否決選項。

就算 Pokemon Go 在運行過程中不會使用或者修改那些不必要的訊息,但是這種越過固有邊界的權限獲取本身也是令人擔憂的。更重要的是, 作為帳號的擁有者,用戶的知情權被無理由地侵犯。

值得注意的是,在推出 Pokemon Go 之前,Niantic 曾推出另外一款 AR 遊戲 Ingress, 而 Ingress 只需要獲取部分授權就可以正常運行。

目前,已經有外媒向 Niantic 詢問此事,目前還沒有得到回應。不過也不用太擔心,你依然可以放心地去抓皮卡丘,如果你能抓到的話。

(本文經合作夥伴愛範兒授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈Pokemon Go 爆火,但它犯了不該犯的錯誤 〉。)

點關鍵字看更多相關文章: