2016/07/12

Pokémon Go fica com acesso total à conta Google do jogador

O Pokémon Go tem tido um sucesso que superou todas as expectativas, mas pelo caminho descobre-se também que estará a tomar demasiadas liberdades quanto às permissões que exige dos jogadores quanto ao acesso à sua conta Google.

Para os jogadores poderem entrar no jogo é necessário fazerem o login usando a sua conta Pokémon (cujo site, nesta fase, nem sequer está a permitir criar novas contas devido ao enorme afluxo de jogadores) ou usando uma conta Google. Até aqui nada de estranho, há muitos outros jogos que permitem a identificação via conta Google - só que neste caso, para os utilizadores iOS, a app exige o acesso completo à conta, e sem sequer informar os utilizadores disso! (Actualização: parece que não acontece para todos os utilizadores, e também há relatos de que também pode acontecer ocasionalmente em Android.)

Normalmente, qualquer app que aceite a identificação via Google informa os utilizadores sobre que tipo de acesso pretende. Nos jogos, isso normalmente fica-se pelo acesso aos dados básicos da conta (para saber o nosso email, por exemplo) mas no caso do Pokémon Go, estranhamente, a Niantic pede o acesso completo à conta, o que lhes permite fazer tudo o que quiserem com a vossa conta - desde aceder a todo o vosso email, aceder ao histórico de localização, ou até apagar ficheiros no Google Drive.

Não há qualquer justificação para que um jogo necessite de tal poder sobre a nossa conta, mas uma das coisas que poderá ajudar a explicar isto é que a Niantic também já exigia este acesso total no Ingress. Claro que, originalmente, a Niantic fazia parte da Google e por isso podiam-se aceitar este tipo de liberdades; mas agora que os seus caminhos divergiram, começa a ser complicado justificar que quer o Pokémon Go quer o Ingress tenham acesso completo à conta Google.



Esperemos que com esta chamada de atenção a Niantic rapidamente rectifique esta situação e passe a pedir apenas as permissões estritamente necessárias de que precisa. E, para além do mais, importa referir que a simples desinstalação de qualquer um destes jogos não evita que a Niantic continue a ter acesso completo à conta do utilizador. Para isso será necessário darem um salto à página de permissões de segurança da conta Google, e removerem o acesso às respectivas apps.

Neste caso, a situação torna-se mais grave pois o jogador nem sequer é informado do tipo de acesso que o jogo terá - o que é inadmissível.


Actualização: aparentemente, é mesmo um vestígio dos tempos em que a Niantic ainda fazia parte da Google e tinha acesso "especial" às suas APIs. Tanto a equipa do Pokémon Go como a própria Google já vieram clarificar que se trata de um erro, e que na realidade a app não utiliza mais que o acesso à informação básica, e que vão corrigir o problema em breve. (Esperemos que a correcção também se aplique ao Ingress.)


Actualização 2: a Niantic foi rápida a reagir e já disponibilizou uma versão para iOS com o problema resolvido. Falta aplicar o mesmo ao Ingress.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]