爆発的人気のモバイルゲーム「Pokemon GO」では当初、Googleアカウントのほぼ全情報の表示・変更権限を取得してしまう問題が発生していた。その背景には何があったのか。
爆発的人気のモバイルゲーム「Pokemon GO」に想定外の問題が発覚した。Googleのアカウントサービス「Googleアカウント」のほぼ全情報を表示・変更できる「フルアカウントアクセス」権限のトークン(許可証)を、ユーザーの許可なく取得してしまう問題だ。
開発元のNianticは、Pokemon GOの提供開始後にiOS版の修正を強いられた。Googleアカウントのフルアカウントアクセスの権限を付与するトークンが同ゲームに含まれるという、セキュリティ研究者の報告がきっかけだ。この欠陥による同アプリ自体への影響はなかったものの、トークンを偽装してなりすましをする「トークン置換攻撃」のリスクが明るみに出た。
米セキュリティ企業RedOwlの主席アーキテクトを務めるアダム・リーブ氏は、自分のGoogleアカウントを認証に使ってPokemon GOで遊び始めた際に、「『このアプリはあなたのメールアドレスと氏名を参照できます』など、アプリがどのデータにアクセスできるかを告げるちょっとしたメッセージ」が表示されることを期待した。ところが、こうしたメッセージは表示されなかった。自分でゲームのパーミッションを確認したところ、Pokemon GOに自分のGoogleアカウントへのフルアカウントアクセスの権限が付与されていることを示す表示を見て、ショックを受けたという。
Pokemon GOは「Pokemon Trainer Club」(ポケモントレーナークラブ)のWebサイトか、Googleアカウントのいずれかを使ってログインできる。だがPokemon Trainer Clubは最初の段階で新しいプレーヤーが殺到して新規の登録が受け付けられなくなり、プレーヤーは手持ちのGoogleアカウントの認証情報を使ってログインするしか選択肢がなかった。過度なパーミッションは同アプリのiOS版のみで発生し、Androidユーザーは影響を受けなかった。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
2024年に視聴者が検索したテレビCM 2位は中国のあのEVメーカー、1位は?
2024年にテレビCMを通して視聴者が気になりWeb検索したものは何だったのか。ノバセルが発...
Googleの広告収益成長が鈍化、中国のアレが原因?
YouTubeなどのプラットフォームの成長率は、米国の選挙関連支出の急増にもかかわらず低迷...
OutbrainがTeads買収を完了、新生Teadsとして広告プラットフォームを統合へ
新会社はブランド広告とパフォーマンス広告の両方を最適化し、広告主により良い成果を提...