Es posible que haya visto algunas preocupaciones de seguridad sobre la aplicación Pokémon GO en las redes sociales. Estos son problemas muy válidos: la aplicación puede usar su propio contenedor de vista web para iniciar sesión desde su cuenta de Google y, una vez aprobada, se le da acceso completo a todos sus datos.
Nos comunicamos con Niantic, que desarrolló la aplicación Pokémon Go. Emitió una respuesta a los medios de comunicación el lunes por la noche. ABC News fue uno de los primeros en compartirlo en Twitter, y Niantic emitió la misma respuesta a Android Central.
La declaración dice así:
Recientemente descubrimos que el proceso de creación de la cuenta Pokémon GO en iOS solicita erróneamente permiso de acceso completo para la cuenta de Google del usuario. Sin embargo, Pokémon GO solo accede a la información básica del perfil de Google (específicamente, su identificación de usuario y dirección de correo electrónico) y ninguna otra información de la cuenta de Google es o ha sido visitada o recopilada. Una vez que nos dimos cuenta de este error, comenzamos a trabajar en una solución del lado del cliente para solicitar permiso solo para la información básica del perfil de Google, en línea con los datos a los que realmente accedemos. Google ha verificado que Pokémon Go o Niantic no hayan recibido ni accedido a ninguna otra información. Google pronto reducirá el permiso de Pokémon GO a solo los datos de perfil básicos que Pokémon GO necesita, y los usuarios no necesitan realizar ninguna acción ellos mismos.
La publicación original sigue:
La buena (?) Noticia es que esto parece ser un problema solo de iOS. En Android, la aplicación parece utilizar la forma "correcta" para iniciar sesión con sus credenciales de Google, y no solicita acceso a los datos confidenciales de su cuenta. Puede verificarlo usted mismo aquí. De hecho, cuando verificamos una cuenta que no ha utilizado un iPhone para iniciar sesión, la aplicación Pokémon GO ni siquiera aparece como que tenga acceso. No se alarme si ve lo mismo.
La primera preocupación, la página de inicio de sesión del contenedor webview, no es demasiado preocupante. Apple tiene métodos seguros para que las aplicaciones hagan este tipo de cosas (aunque Google preferiría que se dirija al usuario al navegador web predeterminado para que se pueda verificar la URL) y el personal de Apple examina cada aplicación antes de que se publique. Sí, incluso Apple puede dejar pasar algo, pero la página de autorización de la cuenta es legítima. Lo revisamos. Y millones de usuarios lo han comprobado.
La segunda preocupación, el acceso a todos los datos de su cuenta de Google, es mucho más preocupante.
Este nivel de acceso significa que el editor puede ver todo. De acuerdo con Google:
Cuando otorga acceso total a la cuenta, la aplicación puede ver y modificar casi toda la información en su cuenta de Google (pero no puede cambiar su contraseña, eliminar su cuenta o pagar con Google Wallet en su nombre).
Ciertas aplicaciones de Google pueden aparecer en la lista de acceso completo a la cuenta. Por ejemplo, es posible que vea que la aplicación Google Maps que descargó para su iPhone tiene acceso total a la cuenta.
Este privilegio de "Acceso total a la cuenta" solo debe otorgarse a las aplicaciones en las que confía completamente y que están instaladas en su computadora personal, teléfono o tableta.
Y más. Básicamente, cualquier cosa que hayas hecho al iniciar sesión con Google, y todo lo que hayas guardado en Drive o Fotos está abierto para Niantic y la aplicación en sí.
Ahora no creemos que Niantic o Nintendo vayan a analizar los datos de su cuenta o mirar sus fotos. Pero, ¿qué sucede si alguien por ahí encuentra una manera de hackear a Niantic? Con acceso a la base de datos correcta, cualquier atacante puede tener un token que le dé todas sus "cosas". Eso no es bueno. No es bueno en absoluto.
Lo que recomendamos es que use una cuenta de Google separada si va a jugar Pokémon Go en su iPhone. O puede decidir no jugar y eliminar los permisos de su página de seguridad de Google.
Lo importante es que sepas lo que está pasando.
