Hit AR-spillets udvikler Niantic hævder, at fuld adgang til en brugers Google-konto var en fejl, og at der kun er opnået grundlæggende Google-profiloplysninger.
En tilladelsesopdatering til augmented reality-spilappen Pokémon Go betyder, at den ikke længere vil have fuld adgang til iOS-brugeres Google-konti.
App'en beder ikke om fuld kontoadgang når du logger ind med et Google-brugernavn og -adgangskode, en funktion, der normalt er reserveret til betroede apps og ikke til gaming-apps.
Appens supportside hævdede, at den "for nylig havde opdaget", at appen fejlagtigt anmoder om fuld adgang til Google-konti ved starten af kontooprettelsesprocessen på iOS til iPhones og iPads, og at da de blev opmærksomme på fejlen, begyndte de at arbejde på en rettelse på klientsiden for at sikre, at adgangen blev reduceret til grundlæggende.
Udvalgte
- Er Windows 10 for populær til sit eget bedste?
- 5 måder at finde det bedste sted at starte din karriere på
- Sådan vil generativ AI ændre koncertøkonomien til det bedre
- 3 grunde til, at jeg foretrækker denne $300 Android frem for Googles Pixel 6a
Ifølge indlægget har Google bekræftet, at ingen brugeroplysninger var blevet tilgået af Pokémon Go eller udvikler Niantic andet end grundlæggende Google-profiloplysninger, specifikt bruger-id og e-mail adresser.
Niantic tilføjede, at ændringerne vil blive implementeret "snart", og at brugerne ikke behøver at foretage sig noget selv for at håndhæve ændringer.
Ari Rubinstein fra Product Security at Slack bemærkede i et blogindlæg, at fuld adgang højst sandsynligt var en ærlig fejl.
"Der er et udokumenteret flow af at kunne udveksle et token med https://www.google.com/accounts/OAuthLogin mulighed for et sessionstoken til Google-ejendomme," sagde han. "Jeg tror, at dette er en fejl fra Google og Niantics side, og det bliver ikke brugt ondsindet på den måde, som oprindeligt blev foreslået.
"I betragtning af at Google med tilbagevirkende kraft vil ændre omfanget af tokens for at fjerne denne mulighed, burde Pokémon Go være sikkert at spille i de næste par dage på iOS, eller endda nu."
Han sagde senere, at ændringerne kan håndhæves ved at downloade og genautorisere appen.
ZDNet fandt ud af, at i stedet for eksplicit at bede om tilladelse til fuld kontoadgang, springer appen direkte til servicevilkårene, hvilket betyder den har adgang til dine indbakker, personlige oplysninger, Google Drev og søge- og placeringshistorik og kan også læse og ændre data.
Ud over dette, baseret på oplysninger givet i spillets privatlivspolitik, kan det også erhverve og sælge dine personlige data. Politikken siger, at "oplysninger, som vi indsamler fra vores brugere, herunder PII, anses for at være et forretningsaktiv".
Den tilføjer, at i tilfælde af at gå konkurs eller blive erhvervet, "nogle eller alle vores aktiver, inklusive dine (eller dit autoriserede barns) PII, kan videregives eller overføres til en tredjepartsindkøber i forbindelse med transaktion".
Spillet debuterede tidligere på måneden og siges at have flere brugere end Twitter.