cba青岛队-《口袋妖怪:GO》存在严重账户安全风险 用户信息遭泄露

《口袋妖怪:GO》存在严重账户安全风险 用户信息遭泄露

   在这就快人人都是精灵师的时候,cba青岛队 外国一技术玩家发现了《口袋妖怪:GO》存在严重的漏洞。cba青岛队 他发现这款游戏要求的权限相当高,几乎拥有了系统账号完整的权限,几乎可以查看和修改您Google帐户中的所有信息!具体是什么原因,我们来一起看一下。

   但国外玩家发现,《 Pokémon Go》存在严重的账户安全风险。

   游戏提供两种登陆方式:Google 或 Pokémon 训练师俱乐部(pokemon.com)。在欧美几乎人人都有Google账户,而之前 pokemon.com 由于技术故障无法接受新用户注册,因而大部分玩家都在用 Google 账户登陆。

   国外玩家 Adam Revee 注意到 ,使用 Google 账户登陆之后,《Pokémon Go》直接获取了Google账户的“完整账户权限”(full access)。Adam Revee 在自己的博客上记录了这一发现,被 Twitter 上的数据安全大号@SwiftOnSecurity 转发,引起了安全界的广泛关注。

   我在手机上检查了自己的账户,发现《Pokémon Go》的确标记为拥有整账户权限,相同待遇的只有Chrome浏览器。

   为了重现这个事件,我打开游戏,抓了附近的两只小精灵,等完服务器同步(存盘)的过程,然后打开菜单,注销(sign out)自己的账号,退出游戏。接下来,我点击上面的 Remove 按钮撤销了“Pokemon Go Release”的权限。

   然后我重新打开游戏,并使用 Google 账户登陆。更严重的问题出现了: 输入 Google 账户→输入密码并确认后,直接进入了游戏的读取界面,并没有弹出一个权限确认的菜单。

   一般来说,使用 Google 账户登陆的第三方服务,在输入账号密码之后会出现下图这样的界面,要求你确认第三方服务可使用的权限。

Leave a Reply

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注