Du kanske har sett några säkerhetsproblem om Pokémon GO-appen som man pratar om på sociala medier. Det här är mycket giltiga problem - applikationen kan använda sin egen webbvisningsbehållare för inloggning från ditt Google-konto, och när den väl har godkänts ger den sig full tillgång till alla dina data.
Vi nådde ut till Niantic - som utvecklade Pokémon Go-appen. Det gav ett svar till media sent på måndag kväll. ABC News var bland de första som delade det på Twitter - och Niantic ger sedan samma svar till Android Central.
Uttalandet lyder således:
Vi har nyligen upptäckt att skapandet av Pokémon GO-kontot på iOS felaktigt begär full åtkomsttillstånd för användarens Google-konto. Pokémon GO har dock endast åtkomst till grundläggande Google-profilinformation (specifikt ditt användar-ID och e-postadress) och ingen annan Google-kontoinformation har eller har åtkomst eller samlats in. När vi blev medvetna om detta fel började vi arbeta med en fix på klientsidan för att begära tillåtelse för endast grundläggande Google-profilinformation, i linje med de data som vi faktiskt har åtkomst till. Google har verifierat att ingen annan information har tagits emot eller nås av Pokémon Go eller Niantic. Google kommer snart att minska Pokémon GOs tillåtelse till endast de grundläggande profildata som Pokémon GO behöver, och användare behöver inte själva vidta några åtgärder.
Det ursprungliga inlägget följer:
Den goda (?) Nyheten är att detta verkar vara en iOS-fråga. På Android verkar appen använda det "rätta" sättet att logga in med dina Googles referenser och den begär inte åtkomst till dina känsliga kontodata. Du kan kolla själv här. Faktum är att när vi kontrollerar ett konto som inte har använt en iPhone för att logga in, är Pokémon GO-appen inte ens listad med någon tillgång. Var inte rädd om du ser samma sak.
Den första frågan - inloggningssidan för webbläsarens behållare - är inte så oroande. Apple har säkra metoder för appar för att göra den här typen av saker (även om Google hellre vill att användaren riktas till standardwebbläsaren så att URL: n kan kontrolleras) och varje app kontrolleras av Apple-personalen innan den publiceras. Ja, till och med Apple kan låta något glida igenom, men sidan för kontobehörighet är giltig. Vi kollade. Och miljoner användare har kontrollerat.
Det andra problemet - åtkomst till alla dina Google-kontodata - är mycket mer oroande.
Denna åtkomstnivå innebär att utgivaren kan se allt. Enligt Google:
När du ger full kontoåtkomst kan applikationen se och ändra nästan all information i ditt Google-konto (men det kan inte ändra ditt lösenord, ta bort ditt konto eller betala med Google Wallet för dina räkning).
Vissa Google-applikationer kan listas under fullständig kontoåtkomst. Till exempel kan du se att Google Maps-applikationen som du laddade ner för din iPhone har fullständig kontot åtkomst.
Denna behörighet "Fullständig kontoåtkomst" bör endast beviljas till applikationer du helt litar på och som är installerade på din dator, telefon eller surfplatta.
Och mer. I princip är allt du någonsin gjort när du loggat in med Google, och allt du någonsin har sparat i Drive eller Photos är öppet för Niantic och själva appen.
Nu tror vi inte att Niantic eller Nintendo kommer att titta igenom dina kontodata eller titta på dina foton. Men vad händer om någon där ute hittar ett sätt att hacka Niantic? Med åtkomst till rätt databas kan alla angripare ha ett symbol som ger dem alla dina "grejer". Det är inte bra. Inte bra alls.
Vad vi rekommenderar är att du använder ett separat Google-konto om du ska spela Pokémon Go på din iPhone. Eller så kan du välja att inte spela alls och ta bort behörigheterna från din Googles säkerhetssida.
Det viktiga är att du vet vad som händer.
