Pokémon Go技術問題尷尬不斷 被爆“強奪”谷歌帳號完整權限

　　Pokémon Go游戲會自動獲得Google賬戶完整權限，可以看Photos和Drive里存放的隱私文件、調取搜索記錄等等。更可怕的這一切無法拒絕，因為游戲直接幫你按了權限確認的按鈕。

　　據悉，任天堂和Niantic Labs聯(lián)合開發(fā)的手游Pokémon Go（口袋妖怪Go）有多火爆相信已經不用再過多介紹了，從7月4號發(fā)布以來，僅僅8天時間，其用戶活躍度已逼近Twitter，用戶使用時間甚至達到Snapchat的兩倍之多。但與此同時其負面消息也接踵而來，繼昨天假冒Pokémon Go安裝包引發(fā)黑客攻擊的消息之后，今天又爆出Pokémon Go“強奪”谷歌帳號完整權限的新聞。

　　由于目前Pokémon Go只提供兩種登陸方式：谷歌賬戶或Pokémon訓練師俱樂部（pokemon.com）帳號。一方面是在歐美幾乎人人都有谷歌賬戶，另一方面之前pokemon.com由于技術故障而無法接受新用戶注冊，因此目前大部分玩家其實都在使用谷歌賬戶來玩Pokémon Go。

　　然而據美國玩家反映，Pokémon Go直接獲取了谷歌賬戶最高等級的“完整權限”（full access），而這一待遇通常只有Chrome等谷歌旗下產品才能獲得。

　　更具體一點說，具備了完整權限的應用可以隨時查看你的Gmail郵件，可以以你的身份發(fā)送郵件，可以獲取/刪除你存儲在Google Drive云盤里的任何文件，可以查看Google Photos里備份的所有隱私照片等等。如果獲取此權限的第三方應用安全性不高，或將引發(fā)非常嚴重的隱私泄露事件。

　　另外，即使Pokémon Go的服務器足夠安全，第三方應用也應該遵循最小權限原則。況且就目前Pokémon Go的游戲功能看，也完全不需要谷歌的完整賬戶權限。

　　除了強制”完整權限“之外，還有更嚴重的情況。有用戶嘗試取消谷歌賬戶和Pokémon Go的關聯(lián)，然后退出游戲，重新用谷歌帳號登錄，在輸入了用戶名和密碼之后，竟然沒有跳出谷歌需要用戶重新授權的確認界面，而是直接進入了游戲。如果上面的”完整權限“還將就可以理解的話，那這個連權限確認都不需要的登錄行為該怎么解釋呢？

　　關于這一點，有國外大牛猜測：Pokémon Go的谷歌賬戶登錄界面應該是谷歌官方的鏈接，這一點沒有問題，至于為什么沒有彈出用戶權限確認界面，很可能是Pokémon Go服務器做了瀏覽器自動化操作，自動幫用戶點擊了確認按鈕——這可是嚴重的網絡安全事故（谷歌的權限確認界面如上圖所示，Pokémon Go將自動跳過這一步驟）。

　　關于上述這些嚴重的安全隱患，任天堂和Niantic Labs目前還沒有公開回應。

　　如此火爆的同時，Pokémon Go的安全問題也著實令人擔憂。我們希望開發(fā)商能早日解決這些問題，并盡快登錄中國，讓國內玩家們也能夠正常享受小精靈帶來的快樂。

　　雖然《Pokémon Go》是任天堂 Pokémon 系列的最新游戲，由谷歌旗下Niantic Labs聯(lián)合開發(fā)，也是第一款 Pokémon 手游，但國外玩家發(fā)現，《Pokémon Go》存在嚴重的賬戶安全風險。