Pokemon GO

De afgelopen week stond in het teken van Pokemon GO, een mobiele game van Nintendo waarbij je de echte wereld in moet om Pokémon te vangen, te verzamelen en te trainen.

We zullen niet te diep op de hype in gaan, als je precies wil lezen wat Pokémon GO is dan kun je terecht bij onze collega's van Computer Idee.
 

Populair, tot de zorgen komen

Pokemon GO werd in de afgelopen dagen waanzinnig populair, met miljoenen downloads over de hele wereld, veel media-aandacht, en een koers van Nintendo die enkele miljarden méér waard is geworden.

Tot voor gisteren bleek het vooral een populaire game, maar er is inmiddels ook veel commotie ontstaan over de privacy van de app.
 

Ontleding

Dat begon bij beveiligingsonderzoeker Adam Reeve, die onder andere bij Tumblr en andere tech-startups werkte. Hij schreef een blogpost die behoorlijk wat stof deed opwaaien. In de blogpost schrijft hij hoe Pokémon GO een privacyrisico is en dat je het vooral niet moet gebruiken, omdat het spel veel permissies krijgt.
 

Inloggen met Google

Door het inloggen met Google geef je Pokemon GO 'Volledige accounttoegang'

Je moet voor de game namelijk inloggen met een Google-account (al is het ook mogelijk een Nintendo-account aan te maken). Die krijgt echter een flink aantal permissies van over je Google-account, namelijk "complete toegang". Dat gebeurt overigens alleen op de iOS-versie, die alleen te installeren is vanuit de Australische App Store. Via de Android-variant worden geen permissies afgegeven.

Volgens Reeve betekent dat dat Pokémon GO toegang heeft tot je emails (inclusief de inhoud), om ze te versturen vanuit je naam, tot je Drive-documenten, en tot privé-foto's die je in Google Photos hebt staan.
 

Kritiek en nuance

De post ging maandagavond rond over internet, en het spel werd op sociale media verketterd vanwege zijn agressieve privacy-instellingen. Er klonk ook wel nuance, onder andere door Reeve zelf die zei dat de maker van de game waarschijnlijk niet als bedoeling had om persoonsgegevens te verzamelen.

Later bleek dat Reeve enigszins voor zijn beurt had gesproken. De onderzoeker bleek vooral te kijken naar wat de accountpermissie aangaf in het permissieveld in Google, maar gaf later toe niet gereproduceerd te hebben dat die informatie ook daadwerkelijk werd gebruikt.
 

'Volledige accounttoegang'

Google zegt zelf dat de term 'Full account access' niet automatisch betekent dat andere apps toegang krijgen tot de inhoud van emails. Wat het dan wel betekent, verschilt per app, en die informatie is alleen bij Google bekend. Het bedrijf zegt op deze uitlegpagina alleen maar dat dat 'Full accounts access' niet betekent dat je wachtwoord of telefoonnummer veranderd kan worden.
 

API ontleden

Niemand weet hoeveel toegang de API daadwerkelijk heeft

Dat merkten andere beveiligingsonderzoekers ook op. Zo is er Ari Rubinstein, die in een andere blogpost dieper ingaat op het access token dat Googles 0Auth afgeeft. Dat token is niet te herleiden tot de Gmail API, of die van andere Google-onderdelen, al is het wel mogelijk dat die toegang krijgt tot de informatie die via Google verzameld wordt over websites die je bezoekt terwijl je bent ingelogd.
 

Reactie

Al met al lijkt het mee te vallen met de informatie die maker Niantic over je verzamelt. Het bedrijf heeft inmiddels ook al een verklaring uitgebracht, waarin het aangeeft dat er fouten zijn gemaakt met de implementatie van de Google-token. Niantic belooft snel naar de permissies te kijken en die aan te passen waar dat nodig is.
 

Discussie

Ondertussen ontstaat er wel een interessante discussie over het toekennen van permissies aan apps. Zo duurde het ruim een week voor er iemand serieus keek naar welke informatie er over de speler werd verzameld, en pas toen gingen er bij spelers alarmbellen af.

Tel daarbij op dat Pokemon GO op Android ook nog niet te downloaden is in de Play Store, maar alleen via onofficiële sideloaded .apk's. Ook dat deden vrijwel alle gebruikers zonder na te denken over wat er precies in de app stond.