Fehler im Anmeldeprozess: Pokémon Go greift auf alle Daten eines Google-Kontos zu

Das Mobilspiel sichert sich die Rechte versehentlich und ohne Zustimmung des Nutzers. Betroffen sind allerdings nur iPhones und iPads. Der Herausgeber des Spiels hat den Fehler inzwischen beseitigt. Zudem schränkt Google die Rechte der App nun automatisch ein.

Die iOS-Version des Mobilspiels Pokémon Go erhält bei der Anmeldung mit einem Google-Konto Zugriff auf alle dort gespeicherten Daten. Allerdings fordert die App den vollständigen Kontozugriff gar nicht ein – ein Nutzer erfährt also nicht, über welche Rechte Pokémon Go tatsächlich verfügt. Darauf weist der Sicherheitsforscher Adam Reeve in einem Blogeintrag hin.

Davon betroffen sind offenbar aber nur iPhones und iPads. Bei Android-Geräten soll der Fehler nicht auftreten. Bei Tests von ZDNet USA mit zwei iPhones informierte die App nicht wie eigentlich vorgesehen über die Daten, die sie abruft. Stattdessen werden nur die Nutzungsbedingungen angezeigt, die keinen Hinweis auf den vollständigen Kontozugriff liefern.

Pokémon Go greift auf alle Daten eines Google-Kontos zu (Screenshot: Zack Whittaker/ZDNet.com).Die App kann jedoch alle mit einem Google-Konto verbundenen Dienste und Daten einsehen. Sie erhält also Einblick in persönliche Informationen wie Fotos, E-Mails, Browserverlauf, Kalendereinträge, Suchverlauf, Standortdaten und auf Google Drive gespeicherte Dateien.

Niantic, der Entwickler des Spiels, hat inzwischen einen Fehler im Anmeldeprozess eingeräumt. Unter iOS werde versehentlich „der vollständige Zugriff auf das Google-Konto des Nutzers eingefordert“. „Trotzdem ruft Pokémon Go nur Basis-Profildaten (insbesondere Ihre User-ID und E-Mail-Adresse) ab. Andere Kontoinformationen werden und wurden nicht abgerufen oder gespeichert“, teilt das Unternehmen mit. Google habe bestätigt, dass weder Pokémon Go noch Niantic andere Daten erhalten hätten.

ANZEIGE

SAS Viya: Analytics dort hinbringen, wo sie gebraucht wird

Die digitale Transformation ist heute Realität. Und krempelt Unternehmen und ganze Branchen um, die sich komplett neue Geschäftsmodelle überlegen müssen. Bei Analytics, der Kerntechnologie der digitalen Transformation, ist deshalb maximale Flexibilität gefragt. Und höchstes Tempo. Starre Architekturen stehen der Innovation immer öfter im Weg. Mit SAS Viya geht SAS einen neuen Weg: Analytics flexibel, zugänglich und offen in der Cloud.

Die Datenschutzrichtlinie des Spiels weist allerdings ausdrücklich darauf hin, dass Daten gesammelt werden – auch solche, die eine Identifizierung des Nutzers erlauben. Sie werden als „Betriebsvermögen“ angesehen. Sollte das Unternehmen beispielsweise verkauft werden, würden auch die Daten an den neuen Eigentümer übergehen.

Inzwischen hat Niantic einen clientseitigen Fix entwickelt, der sicherstellt, dass die App nur Basisdaten des Kontos abfragt. Google werde zudem die Rechte des Spiels auf die Basisdaten beschränken, ergänzte das Unternehmen. Nutzer müssten keine Maßnahmen ergreifen.

Wer die unwissentlich erteilten Rechte trotzdem widerrufen will, muss sich bei seinem Google-Konto anmelden und auf der Übersichtsseite in der Rubrik „Anmeldung & Sicherheit“ die verbundenen Apps und Websites aufrufen. Dort sollte dann Pokémon Go als „mit Ihrem Konto verbundene App“ angezeigt werden. Ein Klick auf den Eintrag erlaubt es, den Zugriff zu beenden. Allerdings gehen dann auch alle bisher gespeicherten Spielstände verloren.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Neueste Kommentare 

Noch keine Kommentare zu Fehler im Anmeldeprozess: Pokémon Go greift auf alle Daten eines Google-Kontos zu

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *