《Pokémon Go》是任天堂 Pokémon（中譯名口袋妖怪、寵物小精靈、精靈寶可夢(mèng)）系列的最新游戲，由 Niantic Labs 聯(lián)合開(kāi)發(fā)，也是第一款 Pokémon 手游。不需多說(shuō)，看到這篇文章的你，多半正在玩或者已經(jīng)下載好了游戲?？墒沁@款游戲在國(guó)外網(wǎng)友眼中手機(jī)上要的權(quán)限未免過(guò)大了，我想這篇文章你看完，可能會(huì)想，這在中國(guó)的應(yīng)用市場(chǎng)根本不算什么，要權(quán)限算什么？一起來(lái)看看權(quán)限在手機(jī)上能干什么。

國(guó)外玩家發(fā)現(xiàn)，《 Pokémon Go》存在嚴(yán)重的賬戶安全風(fēng)險(xiǎn)。

游戲提供兩種登陸方式：Google 或 Pokémon 訓(xùn)練師俱樂(lè)部（pokemon.com）。在歐美幾乎人人都有 Google 賬戶，而之前 pokemon.com 由于技術(shù)故障無(wú)法接受新用戶注冊(cè)，因而大部分玩家都在用 Google 賬戶登陸。

國(guó)外玩家 Adam Revee 注意到，使用 Google 賬戶登陸之后，《Pokémon Go》直接獲取了 Google 賬戶的“完整賬戶權(quán)限”（full access）。Adam Revee 在自己的博客上記錄了這一發(fā)現(xiàn)，被 Twitter 上的數(shù)據(jù)安全大號(hào)@SwiftOnSecurity 轉(zhuǎn)發(fā)，引起了安全界的廣泛關(guān)注。

我在手機(jī)上檢查了自己的賬戶，發(fā)現(xiàn)《Pokémon Go》的確標(biāo)記為擁有整賬戶權(quán)限，相同待遇的只有 Chrome 瀏覽器。

為了重現(xiàn)這個(gè)事件，我打開(kāi)游戲，抓了附近的兩只小精靈，等完服務(wù)器同步（存盤(pán)）的過(guò)程，然后打開(kāi)菜單，注銷(xiāo)（sign out）自己的賬號(hào)，退出游戲。接下來(lái)，我點(diǎn)擊上面的 Remove 按鈕撤銷(xiāo)了“Pokemon Go Release”的權(quán)限。

然后我重新打開(kāi)游戲，并使用 Google 賬戶登陸。更嚴(yán)重的問(wèn)題出現(xiàn)了：輸入 Google 賬戶→輸入密碼并確認(rèn)后，直接進(jìn)入了游戲的讀取界面，并沒(méi)有彈出一個(gè)權(quán)限確認(rèn)的菜單。

一般來(lái)說(shuō)，使用 Google 賬戶登陸的第三方服務(wù)，在輸入賬號(hào)密碼之后會(huì)出現(xiàn)下圖這樣的界面，要求你確認(rèn)第三方服務(wù)可使用的權(quán)限。

以 Medium 和 Soundcloud 舉例，前者獲取了“電子郵件地址”和“基本資料信息”，后者僅需要“離線使用”權(quán)限。這些權(quán)限都需要確認(rèn)允許才可以獲取到。

我嘗試了一下撤銷(xiāo)權(quán)限還能不能玩游戲，情況很復(fù)雜。有時(shí)候能玩，但游戲地圖道路讀取不出來(lái)，只有飄在空中的 Pokéstop 和道場(chǎng)；有時(shí)候干脆無(wú)法加載游戲，或者顯示服務(wù)器故障。

為什么不讓用戶確認(rèn)權(quán)限？@SwiftOnSecurity 指出，登陸界面的確系 Google 的 OAuth 界面，如假包換。但問(wèn)題在于 Niantic Labs 可能設(shè)置了瀏覽器自動(dòng)化，跳過(guò)了權(quán)限確認(rèn)頁(yè)面，自動(dòng)幫用戶點(diǎn)了按鈕——這是嚴(yán)重的安全事故。

另外，第三方應(yīng)用的開(kāi)發(fā)者在設(shè)計(jì)使用 Google、Facebook、Twitter 或其他更流行的賬號(hào)體系登陸時(shí)，通常應(yīng)該遵循“最小權(quán)限原則”，只申請(qǐng)應(yīng)用正常運(yùn)轉(zhuǎn)所必須的權(quán)限?！禤okémon Go》從目前的全部功能來(lái)看，并沒(méi)有獲取完整權(quán)限的必要。現(xiàn)在這樣一上來(lái)就要求完整權(quán)限，還不經(jīng)確認(rèn)，比“全家桶”有過(guò)之無(wú)不及。

Google 的賬戶幫助頁(yè)面上有一段這樣的描述：

當(dāng)您向應(yīng)用授予完整帳戶權(quán)限后，該應(yīng)用幾乎可以查看和修改您 Google 帳戶中的所有信息（但不能更改密碼、刪除帳戶，或以您的名義使用 Google 電子錢(qián)包付款）。

某些 Google 應(yīng)用可能具有完整帳戶權(quán)限。例如，您可能會(huì)看到，您下載到 iPhone 的“Google 地圖”應(yīng)用具有完整帳戶權(quán)限。

請(qǐng)僅將“完整帳戶權(quán)限”授予您完全信任且已安裝到您的個(gè)人計(jì)算機(jī)、手機(jī)或平板電腦上的應(yīng)用。

更具體講，授予一個(gè)第三方應(yīng)用“完整賬戶權(quán)限”，意味著它可以：

查看你的郵件；以你的身份發(fā)郵件；獲取你 Google Drive 云盤(pán)里的所有文件，包括已經(jīng)刪除的；調(diào)取你的搜索記錄，包括地圖里的導(dǎo)航記錄；看任何你在 Google Photos 里備份的照片，包括隱私照片；了解或修改其他各種各樣的資料；登陸其他用 Google 賬戶登陸的服務(wù)。

至于由 Niantic Labs 和任天堂旗下 Pokémon Company 這兩家還算知名的公司聯(lián)合開(kāi)發(fā)的游戲，為何出現(xiàn)如此嚴(yán)重的賬戶權(quán)限事故，除了粗心大意，恐怕暫無(wú)其他解釋。前面也有提到，“某些 Google 應(yīng)用可能具有完整權(quán)限”，或許是 Niantic Labs 從 Google 旗下拆分之后，沒(méi)有及時(shí)更新自己的開(kāi)發(fā)工具，仍然以為自己開(kāi)發(fā)的是 “Google 應(yīng)用”吧？

身為架構(gòu)工程師的 Adam Renee 表示，他并非懷疑 Niantic Labs 會(huì)拿著用戶 Google 賬戶的完整權(quán)限胡作非為。問(wèn)題在于，Niantic Labs 的數(shù)據(jù)安全水平如何，在業(yè)界并沒(méi)有公開(kāi)的資料。更何況現(xiàn)在《Pokémon Go》如此火爆，難免有黑客盯上這座數(shù)據(jù)金礦，誰(shuí)也無(wú)法保證之前發(fā)生在網(wǎng)易、CSDN、雅虎、Target 等公司內(nèi)的數(shù)據(jù)泄露事故，不會(huì)發(fā)生在 Niantic Labs 身上（此前已經(jīng)有黑客修改游戲的 Android APK 安裝包，在游戲里添加惡意代碼。）

目前 Niantic Labs 尚未對(duì)此做出回應(yīng)。

最新評(píng)論