精灵宝可梦 Go 被指无故获取用户谷歌帐号最高权限

下一篇文章

分享账户密码已是犯罪,但 Netflix 目前不打算控告用户

许多用户都已使用谷歌帐号去登录《精灵宝可梦 Go》。在这种情况下,这款热门游戏可能会申请访问谷歌帐号的最高权限。这意味着,游戏能读取你的电子邮件、位置记录,以及几乎所有一切。那么,这款游戏为何要这样做,为何用户不知道这点?

这个问题在游戏发布的不久之后就被发现。当时,RedOwl 的亚当·里夫(Adam Reeve)决定看看,在使用谷歌帐号登录的情况下,应用是否会耍些花样(你也可以试试这样做)。

当然,《精灵宝可梦 Go》需要获得某些权限,但你可以看到这样做的理由。应用需要获得你的准确位置,访问摄像头和运动传感器,读写存储卡,以及在你用完 Pokeball 之后帮你付费购买。

那么,获得谷歌帐号的完整权限又是为了什么?通常情况下,只有平台级应用,例如 Chrome 浏览器,才会需要这种权限。对此,谷歌给出了以下描述

当你给予完整的账号权限时,应用可以查看并调整你谷歌帐号的几乎所有信息(但无法更改你的密码,删除你的帐号,或是通过你的谷歌钱包付款)。

这种 “完整的账号权限” 只应被提供给你完全信任的应用,且安装在你的 PC、手机和平板电脑中。

首先,为何《精灵宝可梦 Go》要获得帐号的完整权限?其次,为何用户没有看到申请权限的提示,没有机会去进一步考虑是否给予这种授权?第三,为何谷歌没有作出说明,例如 “你是否确定,想给予一款游戏权限,以访问你 Gmail 和谷歌文档中的机密文件?”(作为参考,Niantic 的前一款现实增强游戏 Ingress 只要求部分权限。)

我们已经提出了这样的问题。与此同时,读者们可以帮助解答这个问题。实际上,完整的谷歌帐号访问权限只发生在某些情况下。

(更新:此前本文表示,完整的谷歌帐号访问权限只发生在 Android 版中,但情况似乎并非如此。在 iOS 版中,应用也会获得谷歌帐号的完整访问权限。我已就这一问题联系 Niantic,但尚未得到回复。)

例如,我曾在两部 Android 手机上安装这款游戏,手机操作系统版本分别为 Android 5.2 和 6.0。而应用并未请求任何访问权限!然而,在同事的一部 Android 6.0 手机上,应用请求了完整的访问权限。iOS 版的情况也是如此,这发生在某些 iPhone 上,但另一些 iPhone 则没有受到影响。这其中是否有什么规律?

玩家可以用 Pokeman Trainer 帐号去登录。不过有时服务器会过于拥挤,许多用户无法使用这一选项,因此只能用谷歌帐号登录。

需要明确,我们并不是说,Niantic 或任天堂想要窃取你的电子邮件,或是保存在谷歌文档中的文件。然而首先,这款游戏没有理由去申请这样的权限,而用户也无法进行权限更改。(调整权限会导致应用崩溃,或是帐号被登出。)而更麻烦的是,这一权限申请过程完全没有告知用户。

这可能是由于,在某些手机和操作系统的搭配中,请求位置和支付信息存在困难。因此,开发者选择了最简单的方式:请求最高权限。

翻译:维金

Pokémon Go shouldn’t have full access to your Gmail, Docs and Google account — but it does