Je hebt misschien wat bezorgdheid over de beveiliging gezien over de Pokémon GO-app waarover op sociale media wordt gesproken. Dit zijn zeer geldige problemen - de applicatie kan zijn eigen webview-container gebruiken om in te loggen vanuit uw Google-account en na goedkeuring geeft hij zichzelf volledige toegang tot al uw gegevens.
We namen contact op met Niantic - die de Pokémon Go-app ontwikkelde. Het gaf maandagavond laat een reactie op de media. ABC News was een van de eersten die het op Twitter deelde - en Niantic gaf vervolgens dezelfde reactie op Android Central.
De verklaring luidt als volgt:
We hebben onlangs ontdekt dat het Pokémon GO-accountcreatieproces op iOS ten onrechte volledige toegangsmachtiging vraagt voor het Google-account van de gebruiker. Pokémon GO heeft echter alleen toegang tot standaard Google-profielinformatie (met name uw gebruikers-ID en e-mailadres) en er is geen andere Google-accountinformatie geopend of verzameld. Toen we ons bewust werden van deze fout, begonnen we te werken aan een client-side fix om toestemming te vragen voor alleen elementaire Google-profielinformatie, in lijn met de gegevens waartoe we daadwerkelijk toegang hebben. Google heeft geverifieerd dat er geen andere informatie is ontvangen of geopend door Pokémon Go of Niantic. Google zal binnenkort de toestemming van Pokémon GO beperken tot alleen de basisprofielgegevens die Pokémon GO nodig heeft, en gebruikers hoeven zelf geen acties te ondernemen.
Oorspronkelijk bericht volgt:
Het goede (?) Nieuws is dat dit een probleem met alleen iOS lijkt te zijn. Op Android lijkt de app de "juiste" manier te gebruiken om in te loggen met uw Google-inloggegevens en vraagt deze niet om toegang tot uw gevoelige accountgegevens. U kunt het hier zelf controleren. Wanneer we inchecken op een account dat geen iPhone heeft gebruikt om in te loggen, staat de Pokémon GO-app zelfs niet vermeld als enige toegang hebbende. Schrik niet als je hetzelfde ziet.
De eerste zorg - de inlogpagina van de webview-container - is niet al te verontrustend. Apple heeft veilige methoden voor apps om dit soort dingen te doen (hoewel Google liever heeft dat de gebruiker naar de standaardwebbrowser wordt geleid zodat de URL kan worden gecontroleerd) en elke app wordt door Apple-medewerkers doorgelicht voordat deze wordt gepubliceerd. Ja, zelfs Apple kan iets doorlaten, maar de accountautorisatiepagina is legitiem. We hebben het gecheckt. En miljoenen gebruikers hebben dit gecontroleerd.
De tweede zorg - toegang tot al uw Google-accountgegevens - is veel verontrustender.
Dit toegangsniveau betekent dat de uitgever alles kan zien. Volgens Google:
Wanneer u volledige accounttoegang verleent, kan de applicatie bijna alle informatie in uw Google-account bekijken en wijzigen (maar het kan uw wachtwoord niet wijzigen, uw account verwijderen of namens u betalen met Google Wallet).
Bepaalde Google-applicaties worden mogelijk vermeld onder volledige accounttoegang. U ziet bijvoorbeeld dat de Google Maps-applicatie die u voor uw iPhone hebt gedownload, volledige accounttoegang heeft.
Dit privilege "Volledige accounttoegang" mag alleen worden verleend aan applicaties die u volledig vertrouwt en die op uw pc, telefoon of tablet zijn geïnstalleerd.
En meer. Kortom, alles wat je ooit hebt gedaan terwijl je was aangemeld bij Google, en alles wat je ooit hebt opgeslagen in Drive of Foto's staat wijd open voor Niantic en de app zelf.
Nu denken we niet dat Niantic of Nintendo je accountgegevens gaat doornemen of je foto's bekijkt. Maar wat gebeurt er als iemand daar een manier vindt om Niantic te hacken? Met toegang tot de juiste database kan elke aanvaller een token hebben waarmee hij al uw 'spullen' krijgt. Dat is niet goed. Helemaal niet goed.
Wat we aanbevelen is dat je een apart Google-account gebruikt als je Pokémon Go op je iPhone gaat spelen. Of u kunt beslissen om helemaal niet te spelen en de machtigingen van uw Google-beveiligingspagina te verwijderen.
Het belangrijkste is dat je weet wat er aan de hand is.
