Популярность новой AR-игры Pokemon Go, выход которой состоялся в нескольких странах на прошлой неделе, растет даже не по часам, а по минутам. Между тем, новый совместный проект Niantic Labs и Nintendo может содержать весьма серьезную уязвимость: пользователи, которые авторизуются в приложении посредством своей учетной записи Google, не задумываясь дают приложению неограниченные права на доступ ко всем своим данным, в том числе и на прочтение/отправку электронных писем. Интереснее всего, что в процессе авторизации игра не уведомляет пользователя о получении столь больших привилегий.
Столь неограниченные права дают приложению доступ не только к электронным письмам пользователя, но и к истории местоположений, где хранится информация о его перемещениях со всех устройств. Отняв эти права у Pokemon Go, пользователь автоматически выходит из приложения, но это никак не влияет на его функциональность.
Компания Niantic Labs заверяет, что «это было ненамеренно» и что никакой дополнительной информации, помимо основных данных об аккаунте Google, она не получала. Вместе с тем, соответствующее исправление, как утверждается, уже на подходе.