Pokemon Go hat vollen Zugriff auf das Google-Konto

Der Treffpunkt für Computerspieler
[ this is the place to discuss computer games ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35174
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Pokemon Go hat vollen Zugriff auf das Google-Konto

Beitrag von doelf » 13 Jul 2016, 08:55

Mit dem Spiel "Pokemon Go" hat sich Nintendo erstmals auf Smartphones gewagt und damit einen Riesenerfolg erzielt. Doch es gibt auch einen bitteren Beigeschmack, denn das Spiel verschafft sich vollen Zugriff auf Google-Konten - etwas, das normalerweise nur Googles eigene Apps dürfen. Nachdem dieses Vorgehen von Adam Reeve publik gemacht wurde, spricht das verantwortliche Entwicklerstudio Niantic von einem Fehler.

Wer "Pokemon Go" spielen möchte, muss sich mit einem Benutzerkonto bei pokemon.com oder Google anmelden. Aufgrund des großen Andrangs wurde das Erstellen neuer Benutzerkonten bei pokemon.com zwischenzeitlich deaktiviert, doch die meisten Spieler werden ohnehin ihr bestehendes Google-Konto verknüpft haben. Auch Adam Reeve ist so vorgegangen und wunderte sich beim Start des Spiels, dass er nicht darüber informiert wurde, welche Zugriffsrechte "Pokemon Go" verlangt. Nach erfolgreiche Anmeldung schaute sich Reeve die gewährten Rechte dann an und staunte nicht schlecht, denn "Pokemon Go" verschafft sich uneingeschränkten Zugriff auf Google-Konten.

In der Praxis bedeutet dies, dass "Pokemon Go" und damit das verantwortliche Entwicklerstudio Niantic alle E-Mails lesen und auch neue E-Mails in unserem Namen verschicken kann. Da auch die E-Mail-Adresse des Benutzers bekannt ist, kann man sich über die "Passwort vergessen"-Funktion vieler Internetangebote Zugriff auf die dortigen Konten verschaffen. Spiel und Entwickler haben zudem vollen Zugriff auf alle Dateien in Googles Cloud-Speicher sowie die bei Google gelagerten Fotos und können auch frühere Internetsuchen, Kartenzugriffe sowie Standorte abrufen. Ausgestattet mit diesen Rechten stellt "Pokemon Go" ein gewaltiges Sicherheitsrisiko dar.

Niantic hat mittlerweile Stellung bezogen und spricht von einem bedauerlichen Fehler, der nur die iOS-Version des Spiels betreffen soll. Obwohl "Pokemon Go" volle Zugriffsrechte besitzt, will man nur die Benutzerkennung und die E-Mail-Adresse abgefragt haben. Google seit informiert und arbeite daran, die Rechte der App einzuschränken. Ein Update des Spiels soll das Problem dann vollends beseitigen. Was bleibt, ist die bittere Erkenntnis, dass Millionen Menschen ihre persönliche Post und ihre privaten Dateien einem fremden Unternehmen zugänglich gemacht haben, ohne dies überhaupt zu bemerken. Wenn so etwas möglich ist, muss es ein grundsätzliches Problem in der Sicherheitsarchitektur von Google und dem Sicherheitsbewusstsein der Benutzer geben.

Quelle:
http://adamreeve.tumblr.com/post/147120 ... urity-risk
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten