Principal Software Pokémon Go para iOS dejará de requerir acceso completo a la cuenta de Google
Software

Pokémon Go para iOS dejará de requerir acceso completo a la cuenta de Google

Pokémon Masters actualizados, ten cuidado: la aplicación para iPhone obtiene acceso a tu cuenta de Google, pero puedes revocar el acceso ahora, y se acerca una solución mejor. Colaborador sénior, Tabletas 12 de julio de 2016 1:54 a.m.PDT

El popular juego Pokémon Go, lanzado hace apenas unos días, obtiene acceso completo a una cuenta de Google cuando se elige como una opción de autenticación al configurar la aplicación en iOS. Android no se ve afectado. Si bien la aplicación de iOS también permite usar una cuenta de Pokémon Trainer Club, la opción de crear una nueva cuenta de club no está disponible en este momento, aparentemente debido a una sobrecarga del sistema.



Actualizar: Ya está disponible una actualización de Pokémon Go, que incluye una solución para el acceso a los datos de la cuenta de Google. Después de instalar la actualización, el juego dirá que solo tiene acceso a su ID de usuario de Google y a su dirección de correo electrónico.

En un comunicado el lunes por la noche, el desarrollador del juego, Niantic, dijo que fue un error solicitar ese nivel de acceso y que la aplicación solo hizo uso del nombre de una cuenta de Google y la dirección de correo electrónico asociada. La empresa está actualizando la aplicación para reducir los permisos que se solicitan, y dijo que Google reducirá automáticamente los permisos de su aplicación. La declaración completa de Niantic aparece al final del artículo.





Adam Reeve, arquitecto principal de la firma de análisis Red Owl, publicó una advertencia en su blog personal el viernes sobre este problema con la cuenta de Google. La mayoría de las aplicaciones solicitan una cantidad mínima de acceso a la cuenta (o información de perfil básica, como lo llama Google) para proporcionar un enlace, en parte debido a los frecuentes comentarios de usuarios, expertos y, a veces, reguladores cuando las aplicaciones piden demasiado.

pokemon go acceso completo

Pokémon Go en iOS solicita silenciosamente acceso completo a una cuenta de Google vinculada.



Al confirmar el informe de Reeve en iOS a través de pruebas, cuando se selecciona la opción de cuenta de Google, la aplicación presenta un inicio de sesión estándar en la aplicación de Google, lo que incluye requerir un segundo factor si está habilitado. Sin embargo, ni la aplicación ni el proceso de inicio de sesión de Google revelan que la aplicación obtiene acceso completo. Visitar una cuenta de Google Aplicaciones y sitios conectados enlace revela el estado de acceso de la aplicación. (En Android, la autenticación ocurre sin otorgar acceso, confirmado en las pruebas y con varios usuarios de Android. Solo se otorgan permisos locales para contactos, cámara y otras funciones, con indicaciones separadas para cada uno).

pokemon go revocar el acceso

Revocar el acceso no inhabilita la aplicación.

Sin embargo, el acceso se puede revocar sin deshabilitar la aplicación. En la configuración de Aplicaciones y sitios conectados, haga clic en la entrada Versión Pokémon Go, haga clic en Eliminar y luego haga clic en Aceptar. El juego seguirá funcionando, aunque es posible que vuelva a solicitar la autenticación en un momento posterior.

¿Por qué esto podría ser preocupante?

El acceso completo permite que una aplicación o un sitio web actúe de manera eficaz como si fuera el propietario de la cuenta, incluido el acceso al correo electrónico, los contactos y los archivos de Google Drive. (Una solicitud a Google para aclarar el alcance del acceso total no recibió respuesta). El acceso completo no es inherentemente una falla de seguridad, pero sí expone a los usuarios de Niantic al riesgo en caso de que sus sistemas se vean comprometidos por una parte interna o externa. Y le da a la empresa una cuerda con la que podría colgarse, si optara por ejercer este alto nivel de acceso, como enviar Gmail en nombre de los usuarios.

El riesgo de ataque proviene de cómo funciona la vinculación de la cuenta de Google. Con un sistema de cuentas administrado localmente, como el Trainer Club, la base de datos de una cuenta contiene una combinación de entradas no cifradas para elementos como el nombre de cuenta y la dirección de correo electrónico de un usuario, y entradas cifradas para contraseñas. Con un buen diseño de sistema criptográfico, incluso si un atacante obtiene una base de datos completa, las contraseñas no se pueden extraer, ni siquiera con un esfuerzo enorme. (Los sistemas débiles permiten ataques de fuerza bruta).

Sin embargo, las aplicaciones y los sitios que usan cuentas para la autenticación administradas por otros sitios, como Google, Twitter y Facebook, no almacenan una contraseña, encriptada o de otro modo, para ese sitio de terceros. Más bien, después de que un usuario inicia sesión en el sitio de un tercero y se verifica la cuenta, un desarrollador recibe un token, solo un fragmento corto de texto único, que se almacena y se usa para manejar la interacción.

Un atacante solo necesita obtener ese token para hacer uso de la cuenta vinculada, ya sea publicando mensajes en Twitter o leyendo correos electrónicos en Google.

Como señala Reeve, el acceso al correo electrónico por sí solo puede ser el borde de una brecha para secuestrar la identidad y las cuentas de alguien en varios sitios. Muchas personas usan Gmail como su dirección de correo electrónico principal o secundaria, por lo que otros sitios enviarían correos electrónicos de recuperación de contraseña a esa cuenta de Gmail. Un atacante con direcciones de correo electrónico y tokens podría intentar restablecer las contraseñas en sitios populares en los que es probable que los usuarios de Pokémon Go tengan cuentas y luego apoderarse de esas cuentas relacionadas.

Un portavoz de Niantic, el desarrollador del juego, dijo que la compañía no tiene comentarios al respecto en este momento. También nos hemos puesto en contacto con Google y actualizaremos esta historia cuando surja nueva información. (Niantic fue una vez propiedad de Google y fue se separó como una empresa independiente en octubre de 2015 con inversiones de Google, Pokémon Company y Nintendo, que posee un tercio de Pokémon Company.

Declaración completa de Niantic:

Recientemente, descubrimos que el proceso de creación de la cuenta de Pokémon GO en iOS solicita por error permiso de acceso completo para la cuenta de Google del usuario. Sin embargo, Pokémon GO solo accede a la información básica del perfil de Google (específicamente, su ID de usuario y dirección de correo electrónico) y no se ha accedido ni se ha recopilado ninguna otra información de la cuenta de Google. Una vez que nos dimos cuenta de este error, comenzamos a trabajar en una solución del lado del cliente para solicitar permiso solo para la información básica del perfil de Google, de acuerdo con los datos a los que realmente accedemos. Google ha verificado que Pokémon GO o Niantic no han recibido ni accedido a otra información. Google pronto reducirá el permiso de Pokémon GO a solo los datos de perfil básicos que Pokémon GO necesita, y los usuarios no necesitan realizar ninguna acción por sí mismos. Para obtener más información, consulte la Política de privacidad de Niantic aquí: https://www.nianticlabs.com/privacy/pokemongo/en

Actualización: esta historia se actualizó con una respuesta de Niantic y con instrucciones para revocar el acceso a la cuenta de Google.