Sponsored Contents

googleの最新記事

Image credit:
Save

『Pokémon GO』がGoogleアカウントにフルアクセス、セキュリティ上の危険を指摘(続報あり)

Kiyoshi Tane
2016年7月12日, 午後01:40 in Google
740シェア
0
740
0

連載

注目記事

iPhone 11 / Pro / Maxレビュー。「11以降」と旧型を分ける超広角カメラ標準化とAR・機械学習の関係

iPhone 11 / Pro / Maxレビュー。「11以降」と旧型を分ける超広角カメラ標準化とAR・機械学習の関係

Ittousai, 13 時間前
View

ポケモン×AR位置ゲームIngressのNianticコラボで人気爆発中のスマホアプリ『Pokémon GO』ですが、Googleアカウントを使ってサインアップすると、大きなセキュリティリスクがあることが明らかになりました。このリスクはiOS版のみで、Android版にはないとのことです。

『Pokémon GO』のサインアップには2つの方法があり、一つはPokémon Trainer Clubでの新規アカウントを作ること。こちらは大人気のためにアクセスが殺到し、7月12日現在は受付を停止しています。とすると二番目の方法、Googleアカウントでサインアップする他ないことになります。

問題なのは、この2つめの方法。Tumblrのブログで指摘したAdam Reeve氏によると、Googleアカウントでサインアップする際、情報アクセスにつきほとんど警告がないまま手続きが完了。しかしアプリに許可されたアクセス権限を確認してみると、驚くべきことにGoogleアカウントへのフルアクセスが許可されていたそうです。

これにより『Pokémon GO』アプリが実行できる権限の一例は次の通り。

  • 全てのメールの閲覧
  • ユーザーに成り代わったメールの送信
  • Google Drive上のドキュメントへのアクセス(削除済みを含む)
  • 検索履歴とマップナビ履歴の参照
  • Googleフォト上にある全てのプライベート写真へのアクセス

もちろん単なるゲームアプリである『Pokémon GO』に、ここまでの情報アクセス権限は必要ありません。Adam氏は単なるNianticのケアレスミスで、個人情報をこっそり集める意図はないだろうと述べています。

、『Pokémon GO』のプライバシーポリシーにはNianticが集めた個人情報は会社の資産とみなされ、同社が買収ないし合併された場合はそれが移転すると明記。Nianticに悪意がなくても、将来のリスクまでは否定できません。

『Pokémon GO』のフルアクセス削除は、「アカウントに接続されているアプリ」ページでアプリを選んで「削除」するだけ。ただ、その場合はPokémon Trainer Clubでアカウントを作らねばならず、そちらで登録できないとプレイできないことは言うまでもありません。

GO

その一方で、日本を含むその他の国でもGoogle Playでのインストールをお預けされる、所謂「おま国」(お前の国は除く)が続いているため、待ちきれないユーザーがGoogle Playの外で配布されている野良APKに手を出したところ、それがマルウェア入の偽装アプリだった事例もすでに報告されています。

Go

7月10日時点で、すでに『Pokémon GO』のユーザー数はTwitterにも匹敵する勢いとのこと。多くのユーザーが集まるところが悪意が向けられるホットスポットだと肝に銘じて、自分の端末や情報は自分で守る心構えが必要かもしれません。

続報:
Nianticは「プログラム上のエラーだった」と過ちを認めました。プレイヤー特有のIDとメールアドレスだけ必要だったところ、フルアクセス権限にしてしまったとのこと。同社は過剰に得られた個人情報を決して利用しないこと、アプリのアクセス権限を減らすことを約束しています。Google側でも『Pokémon GO』のアクセスをプレイヤーの基本プロフィールに必要な情報のみに削るよう対応中とのこと。




「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

740シェア
0
740
0

Sponsored Contents