UPDATE 13. Juli 2016: Niantic hat den Zugriff von Pokémon Go auf das Google-Konto von iOS-Nutzern der App durch ein Update eingeschränkt. Dass dieser vorher möglich war, sei ein Fehler gewesen, erklären die Entwickler. Zu keinem Zeitpunkt seien andere Daten als Name und E-Mail-Adresse des Users abgefragt worden.
Der IT-Spezialist Adam Reeve hat gestern Abend mit seinem Blogeintrag „Pokémon Go is a huge security risk“ für Aufregung bei Nutzern des aktuell äußerst erfolgreichen Smartphone-Spiels Pokémon Go gesorgt.
Reeve war aufgefallen, dass iPhone-Nutzer, die sich mit ihrem Google-Account beim Spiel anmelden, dem Hersteller Niantic Labs – eine ehemalige Google-Tochter – damit auch umfassenden Zugang zu persönlichen Daten ermöglichen, weil die App den Zugang zum gesamten Google-Konto anfordert. Theoretisch würden die Pokémon-Go-Macher so Zugang zu Nutzerdaten wie E-Mails, Fotos, Drive-Dokumenten oder der Google-Suchhistorie erhalten.
Um das Augmented-Reality-Game hat sich nach seinem Start in den USA, Australien und Neuseeland ein riesiger Hype entwickelt. Binnen weniger Tage registrierten sich über fünf Millionen Spieler bei Pokémon Go und die Account-Erstellung per Website waren phasenweise aufgrund überlasteter Server nicht möglich. Viele User bevorzugten deshalb die Anmelde-Option per Google-Konto.
Niantic hat jetzt gegenüber The Verge erklärt, dass Pokémon Go nicht auf den gesamten Inhalt des Google-Profils zugreife, sondern lediglich die Grundinformationen zum Profil – also den Benutzernamen und die E-Mail-Adresse – abfrage. „Keine anderen Informationen aus dem Google-Konto werden oder wurden genutzt oder gesammelt“, sagte Niantic. Auch Google selbst habe dies bestätigt.
+++ Der Firmenchef hinter Pokémon Go erklärt das Phänomen +++
Allerdings räumte das Unternehmen ein, dass die App tatsächlich im Hintergrund den „vollen Zugang“ zu Google-Profilen angefragt habe. Das aber sei durch einen versehentlichen Fehler passiert. Diesen wolle man in Kürze durch einen entsprechenden Bugfix beheben. Google reduziere die Zugriffsmöglichkeiten für das Spiel von seiner Seite aus.
Adam Reeve hat indes gegenüber Gizmodo bestätigt, dass sein Blogpost womöglich etwas voreilig war und er „nicht 100 Prozent sicher war“, ob seine Sicherheitsbedenken gerechtfertigt waren.
„Ich bin wirklich froh, dass Niantic sich umgehend des Problems annimmt“, schreibt Reeve in einem neuerlichen Blogeintrag. „Meine Absicht war es nur, etwas Aufmerksamkeit zu erhalten, nachdem meine ersten Versuche, die Entwickler zu kontaktieren, scheiterten. Nun zieht los und fangt ein paar Pokémon.“
+++ Mehr von WIRED täglich ins Postfach? Hier für den Newsletter anmelden +++