任天堂和Niantic Labs聯(lián)合開發(fā)的手游Pokémon Go（口袋妖怪Go）有多火爆相信已經(jīng)不用再過多介紹了，從7月4號發(fā)布以來，僅僅8天時間，其用戶活躍度已逼近Twitter，用戶使用時間甚至達到Snapchat的兩倍之多。但與此同時其負面消息也接踵而來，繼昨天假冒Pokémon Go安裝包引發(fā)黑客攻擊的消息之后，今天又爆出Pokémon Go“強奪”谷歌帳號完整權限的新聞。

由于目前Pokémon Go只提供兩種登陸方式：谷歌賬戶或Pokémon訓練師俱樂部（pokemon.com）帳號。一方面是在歐美幾乎人人都有谷歌賬戶，另一方面之前pokemon.com由于技術故障而無法接受新用戶注冊，因此目前大部分玩家其實都在使用谷歌賬戶來玩Pokémon Go。

然而據(jù)美國玩家反映，Pokémon Go直接獲取了谷歌賬戶最高等級的“完整權限”（full access），而這一待遇通常只有Chrome等谷歌旗下產(chǎn)品才能獲得。

谷歌的賬戶幫助頁面有如下一段描述：

當您向應用授予完整帳戶權限后， 該應用幾乎可以查看和修改您 Google 帳戶中的所有信息 （但不能更改密碼、刪除帳戶，或以您的名義使用 Google 電子錢包付款）。

某些 Google 應用可能具有完整帳戶權限。例如，您可能會看到，您下載到 iPhone 的“Google 地圖”應用具有完整帳戶權限。

請僅將“完整帳戶權限”授予您 完全信任 且已安裝到您的個人計算機、手機或平板電腦上的應用。

更具體一點說，具備了完整權限的應用可以隨時查看你的Gmail郵件，可以以你的身份發(fā)送郵件，可以獲取/刪除你存儲在Google Drive云盤里的任何文件，可以查看Google Photos里備份的所有隱私照片等等。如果獲取此權限的第三方應用安全性不高，或?qū)⒁l(fā)非常嚴重的隱私泄露事件。

另外，即使Pokémon Go的服務器足夠安全，第三方應用也應該遵循最小權限原則。況且就目前Pokémon Go的游戲功能看，也完全不需要谷歌的完整賬戶權限。

除了強制”完整權限“之外，還有更嚴重的情況。有用戶嘗試取消谷歌賬戶和Pokémon Go的關聯(lián)，然后退出游戲，重新用谷歌帳號登錄，在輸入了用戶名和密碼之后，竟然沒有跳出谷歌需要用戶重新授權的確認界面，而是直接進入了游戲。如果上面的”完整權限“還將就可以理解的話，那這個連權限確認都不需要的登錄行為該怎么解釋呢？

關于這一點，有國外大牛猜測：Pokémon Go的谷歌賬戶登錄界面應該是谷歌官方的鏈接，這一點沒有問題，至于為什么沒有彈出用戶權限確認界面，很可能是Pokémon Go服務器做了瀏覽器自動化操作，自動幫用戶點擊了確認按鈕——這可是嚴重的網(wǎng)絡安全事故（谷歌的權限確認界面如上圖所示，Pokémon Go將自動跳過這一步驟）。

關于上述這些嚴重的安全隱患，任天堂和Niantic Labs目前還沒有公開回應。

如此火爆的同時，Pokémon Go的安全問題也著實令人擔憂。我們希望開發(fā)商能早日解決這些問題，并盡快登錄中國，讓國內(nèi)玩家們也能夠正常享受小精靈帶來的快樂。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。