В минувший понедельник компания Niantic, разработчик сверхпопулярной игры Pokémon Go, заявила, что не намеревалась запрашивать полный доступ к Google-аккаунтам игроков. На днях выделившаяся из Google год назад компания обнаружила, что ее детищу предоставлены широчайшие привилегии, доступные лишь некоторым тесно связанным с Google приложениям вроде Chrome, и теперь не находит себе места от осознания плачевной ситуации с безопасностью.

Дело в том, что при регистрации кандидату в тренеры покемонов предлагаются две опции входа: под учетными данными Google или члена тренерского клуба. Компания Nintendo, инвестор Pokémon Go, ограничила возможность создания таких аккаунтов, сославшись на повальный спрос, вынудивший многих игроков пользоваться идентификаторами Google.

В ответ на запрос Threatpost представители компании пояснили, что это приложение имеет доступ лишь к основным данным профиля Google — ID пользователя, email-адресу, а другую информацию оно не просматривало и не собирало.

«Обнаружив эту ошибку, мы сразу начали работать над ее исправлением на стороне клиента с тем, чтобы он запрашивал разрешение лишь на базовую информацию профиля Google — по факту мы осуществляем доступ лишь к этим данным, — сказано в заявлении Niantic. — Google подтвердила, что никакой другой информации ни Pokémon Go, ни Niantic не получали и не просматривали». Представители компании также отметили, что Google в скором времени ограничит разрешения для Pokémon Go, оставив доступ лишь к базовым данным профиля, необходимым для работы этого приложения.

Pokemon Go - сообщение Nintendo

Тем временем некоторые ИБ-эксперты уже забили тревогу, подчеркивая, что данный проект воплощен таким образом, чтобы и Pokémon Go, и Niantic, по сути, имели полную свободу действий в отношении Google-аккаунтов. Многие также заключили, что при большом желании компания-разработчик сможет читать электронные сообщения пользователей, отправлять письма от их имени, просматривать их документы на Google Drive, историю поиска и заходов на Google Maps, фотогалереи на Google Photos и т.д.

Заявление Niantic прояснило положение дел, но не убедило Ари Рубинштейна (Ari Rubinstein), специалиста по ИБ из Slack. Он целую ночь разбирался с привилегиями Pokémon Go и установил, что это приложение действительно запрашивает лишь OpenID пользователя и токены email. Тем не менее исследователь согласен, что разрешения для Pokémon Go следует изменить.

«Думаю, это просто ошибка со стороны Google и Niantic, и она не используется со злым умыслом, как все сразу подумали, — пишет Рубинштейн на GitHub. — Как оказалось, использование этого токена таким образом, как предполагалось ранее, весьма затруднительно в рамках текущих разрешений, так как такой способ использования не заложен в программе».

Этот скандал разразился в считанные дни после загрузки Pokémon Go на Apple Store и Google Play. Менее чем за неделю новая игра по количеству пользователей догнала, если не опередила, популярное приложение для знакомств Tinder; также число игроков Pokémon Go наверняка скоро превысит дневную норму Twitter. Это приложение имеет столь большой успех, что серверы Niantic буквально тонут в потоке запросов, и компании пришлось на несколько дней отложить развертывание Pokémon Go в Европе и Азии.

В настоящее время эта игра доступна лишь в интернет-магазинах США, Австралии и Новой Зеландии, а значит, у жителей других стран больше искуса скачать ее из неофициальных источников. Android-пользователям для этого придется включить разрешение на такие загрузки, хотя такие настройки всегда сопряжены с риском.

Это официальное предупреждение появилось в Twitter после того, как исследователи из Proofpoint обнаружили в хакерском репозитории вредоносный вариант Pokémon Go.

«Использование популярных онлайн-игр как носителей вредоносного ПО — тактика давно известная, поэтому в скором времени можно ожидать появления других аналогичных программ, атакующих ничего не подозревающих пользователей, — предупреждает эксперт «Лаборатории Касперского» Владимир Кусков. — Лучшим способом защиты и для пользователя, и для устройства в данном случае является практика установки приложений лишь из официальных источников, а также использование адекватного защитного решения. Не стоит искать легких путей, отключая защиту на устройстве или загружая программы из недоверенных источников, — зачем вам лишние риски?»

Категории: Уязвимости