رئيسي برمجة سيتوقف Pokémon Go for iOS عن طلب الوصول الكامل إلى حساب Google
برمجة

سيتوقف Pokémon Go for iOS عن طلب الوصول الكامل إلى حساب Google

تم تحديث Pokémon Masters ، احذر: يتمكن تطبيق iPhone من الوصول إلى حساب Google الخاص بك ، ولكن يمكنك إلغاء الوصول الآن ، وسيأتي إصلاح أفضل. مساهم كبير ، أجهزة لوحية 12 يوليو 2016 ، الساعة 1:54 صباحًا بتوقيت المحيط الهادئ الصيفي

حصلت لعبة Pokémon Go الشهيرة على نطاق واسع ، والتي تم إصدارها قبل أيام قليلة فقط ، على وصول كامل إلى حساب Google عندما يتم اختيارها كخيار مصادقة أثناء إعداد التطبيق في iOS. Android غير متأثر. بينما يسمح تطبيق iOS أيضًا باستخدام حساب Pokémon Trainer Club ، فإن خيار إنشاء حساب نادي جديد غير متاح حتى كتابة هذه السطور ، على ما يبدو بسبب الحمل الزائد على النظام.



تحديث: يتوفر الآن تحديث Pokémon Go ، والذي يتضمن إصلاحًا للوصول إلى بيانات حساب Google. بعد تثبيت التحديث ، ستقول اللعبة أن بإمكانها الوصول إلى معرف مستخدم Google وعنوان بريدك الإلكتروني فقط.

في بيان صدر في وقت متأخر من يوم الاثنين ، قال مطور اللعبة ، Niantic ، إنه كان من الخطأ طلب هذا المستوى من الوصول ، وأن التطبيق استخدم فقط اسم حساب Google وعنوان البريد الإلكتروني المرتبط به. تعمل الشركة على تحديث التطبيق لتقليل الأذونات المطلوبة ، وقالت إن Google ستقلل تلقائيًا أذونات التطبيق الخاصة بها. يظهر بيان Niantic الكامل في نهاية المقال.





آدم ريف ، مهندس معماري رئيسي في شركة التحليلات Red Owl ، نشر تحذيرًا على مدونته الشخصية يوم الجمعة حول هذه المشكلة المتعلقة بحساب Google. تطلب معظم التطبيقات حدًا أدنى من الوصول إلى الحساب (أو معلومات الملف الشخصي الأساسية ، كما تصفه Google) لتوفير رابط ، ويرجع ذلك جزئيًا إلى ردود الفعل المتكررة من المستخدمين والنقاد وأحيانًا المنظمين عندما تطلب التطبيقات الكثير.

البوكيمون تذهب الوصول الكامل

يطلب Pokémon Go في iOS بصمت الوصول الكامل إلى حساب Google مرتبط.



لتأكيد تقرير Reeve في iOS من خلال الاختبار ، عند تحديد خيار حساب Google ، يقدم التطبيق معلومات تسجيل دخول قياسية إلى Google داخل التطبيق ، بما في ذلك طلب عامل ثانٍ إذا تم تمكينه. ومع ذلك ، لا يكشف التطبيق ولا عملية تسجيل الدخول إلى Google أن التطبيق يتمتع بحق الوصول الكامل. زيارة حساب جوجل التطبيقات والمواقع المتصلة يكشف الرابط عن حالة وصول التطبيق. (في Android ، تحدث المصادقة دون منح الوصول ، وهو مؤكد في الاختبار ومع العديد من مستخدمي Android. يتم منح الأذونات المحلية فقط لجهات الاتصال والكاميرا والميزات الأخرى ، مع مطالبات منفصلة لكل منها.)

البوكيمون الذهاب إبطال الوصول

لا يؤدي إبطال الوصول إلى تعطيل التطبيق.

ومع ذلك ، يمكن إبطال الوصول دون تعطيل التطبيق. في إعدادات التطبيقات والمواقع المتصلة ، انقر فوق إدخال Pokémon Go Release ، وانقر فوق Remove ، ثم انقر فوق OK. ستستمر اللعبة في العمل ، على الرغم من أنه من الممكن أن تطلب المصادقة مرة أخرى في وقت لاحق.

لماذا هذا يمكن أن يكون مقلقا

يسمح الوصول الكامل للتطبيق أو موقع الويب بالتصرف بفاعلية كما لو كان مالك الحساب ، بما في ذلك الوصول إلى البريد الإلكتروني وجهات الاتصال وملفات Google Drive. (طلب إلى Google لتوضيح مدى الوصول الكامل لم يتلق ردًا.) الوصول الكامل ليس عيبًا أمنيًا بطبيعته ، ولكنه يعرض مستخدمي Niantic للمخاطرة في حالة تعرض أنظمتها للخطر إما من قبل طرف داخلي أو خارجي. ويمنح الشركة حبلًا يمكنها من خلاله شنق نفسها ، إذا اختارت ممارسة هذا المستوى العالي من الوصول ، مثل إرسال Gmail نيابة عن المستخدمين.

تأتي مخاطر الهجوم من كيفية عمل ربط حساب Google. باستخدام نظام حساب مُدار محليًا ، مثل Trainer Club ، تحتوي قاعدة بيانات الحساب على مزيج من الإدخالات غير المشفرة لعناصر مثل اسم حساب المستخدم وعنوان البريد الإلكتروني وإدخالات مشفرة لكلمات المرور. مع التصميم الجيد لنظام التشفير ، حتى في حالة حصول المهاجم على قاعدة بيانات كاملة ، لا يمكن استخراج كلمات المرور ، حتى مع بذل جهد هائل. (الأنظمة الضعيفة تسمح بهجمات القوة الغاشمة.)

ومع ذلك ، فإن التطبيقات والمواقع التي تستخدم حسابات للمصادقة تديرها مواقع أخرى - مثل Google و Twitter و Facebook - لا تخزن كلمة مرور ، سواء كانت مشفرة أو غير ذلك ، لموقع الطرف الثالث هذا. بدلاً من ذلك ، بعد أن يقوم المستخدم بتسجيل الدخول إلى موقع الطرف الثالث والتحقق من الحساب ، يتلقى المطور رمزًا مميزًا ، مجرد جزء قصير من النص الفريد ، يتم تخزينه واستخدامه للتعامل مع التفاعل.

يحتاج المهاجم فقط إلى الحصول على هذا الرمز المميز للاستفادة من الحساب المرتبط ، سواء كان ينشر الرسائل على Twitter أو يقرأ البريد الإلكتروني على Google.

كما يلاحظ ريف ، يمكن أن يكون الوصول إلى البريد الإلكتروني وحده بمثابة الحافة الرفيعة لإسفين لسرقة هوية شخص ما وحساباته في مواقع متعددة. يستخدم العديد من الأشخاص Gmail كعنوان بريد إلكتروني أساسي أو ثانوي ، ولذا فإن المواقع الأخرى ترسل رسائل بريد إلكتروني لاستعادة كلمة المرور إلى حساب Gmail هذا. يمكن للمهاجم الذي لديه عناوين بريد إلكتروني ورموز مميزة محاولة إعادة تعيين كلمات المرور في المواقع الشهيرة التي من المحتمل أن يكون لدى مستخدمي Pokémon Go حسابات فيها ، ثم السيطرة على تلك الحسابات ذات الصلة.

قال متحدث باسم Niantic ، مطور اللعبة ، إن الشركة ليس لديها تعليق على الأمر في الوقت الحالي. لقد اتصلنا أيضًا بـ Google وسنحدّث هذه القصة عند ظهور معلومات جديدة. (كانت شركة Niantic ذات يوم مملوكة لشركة Google ، وكانت كذلك نشأت كشركة قائمة بذاتها في أكتوبر 2015 باستثمارات من Google و Pokémon Company و Nintendo التي تمتلك ثلث شركة Pokémon.

بيان Niantic الكامل:

اكتشفنا مؤخرًا أن عملية إنشاء حساب Pokémon GO على نظام iOS تطلب عن طريق الخطأ إذن الوصول الكامل لحساب Google الخاص بالمستخدم. ومع ذلك ، لا يصل Pokémon GO إلا إلى معلومات ملف تعريف Google الأساسية (على وجه التحديد ، معرف المستخدم وعنوان البريد الإلكتروني الخاصين بك) ولا يتم الوصول إلى أو جمع أي معلومات أخرى لحساب Google. بمجرد علمنا بهذا الخطأ ، بدأنا العمل على إصلاح من جانب العميل لطلب إذن لمعلومات ملف تعريف Google الأساسية فقط ، بما يتماشى مع البيانات التي نصل إليها بالفعل. لقد تحققت Google من عدم تلقي أو الوصول إلى أي معلومات أخرى بواسطة Pokémon GO أو Niantic. ستعمل Google قريبًا على تقليل إذن Pokémon GO إلى بيانات الملف الشخصي الأساسية التي يحتاجها Pokémon GO فقط ، ولن يحتاج المستخدمون إلى اتخاذ أي إجراءات بأنفسهم. لمزيد من المعلومات ، يرجى مراجعة سياسة خصوصية Niantic هنا: https://www.nianticlabs.com/privacy/pokemongo/ar

تحديث: تم تحديث هذه القصة برد من Niantic وبتعليمات لإلغاء الوصول إلى حساب Google.