SANTIAGO.- "Pokemon Go" es el juego móvil más popular del momento, pese a que ni siquiera está disponible en Chile y gran parte del mundo. Pero donde sí se puede usar, está revolucionando el mundo móvil, posicionándose como la app gratuita más descargada actualmente.
Y aunque para Nintendo, The Pokemon Company y Niantic (firma desarrolladora del juego) las noticias parecen ser sólo buenas, un investigador de seguridad encontró un problema en el juego que podría generarle más de un dolor de cabeza a los responsables de la app.
Adan Reeve publicó en su
blog personal que el sistema de creación de cuentas de "Go" utiliza un acceso total a la cuenta de Gmail de los usuarios, sin que les haya pedido esto o les muestre una pantalla de confirmación.
La base del problema está en el sistema de creación de cuentas de "Pokemon Go". Actualmente, al abrir el juego por primera vez los usuarios tienen que elegir si usan una cuenta del Club de Entrenadores Pokemon (un sitio para fanáticos) o una cuenta de Google. Debido a los problemas que está experimentando "Go" por la gran cantidad de usuarios que están ingresando a la app, por ahora sólo se pueden crear cuentas desde Google.
Y aquí es donde está la clave del problema. En el caso de Android, al presionar el botón de una cuenta Google, el sistema muestra una ventana donde se debe elegir una de las cuentas registradas en el dispositivo, sin tener que ingresar la clave o aprobar permisos. Pero en iOS, se muestra una ventana para ingresar la dirección de correo y la contraseña. Usualmente, al usar una cuenta de Google como login, se muestra una página indicando qué permisos se le otorga al servicio, lo que debe ser aprobado por el usuario. Pero en "Pokemon Go" esto no pasa.
Reeve decidió revisar qué permisos se le otorga a "Go" sobre las cuentas Gmail, descubriendo que en su caso se le entregó "acceso completo", es decir, el tipo de permisos reservado para aplicaciones como Gmail y otras apps de Google. Esto significa que, según el investigador, Niantic ahora podría revisar los correos de los usuarios, enviar mensajes desde sus direcciones, acceder a sus archivos de Google Drive, revisar imágenes almacenadas en Photos, entre otros. Lo que no se puede hacer es borrar la cuenta o cambiar su contraseña.
"Obviamente no pienso que Niantic esté planeando un gran robo de información personal. Esto es probablemente el resultado de un descuido épico. Pero no sé nada sobre las políticas de seguridad de Niantic. No sé qué tan bien resguardan este impresionante poder que se dieron y francamente no confío en ellos. Les quité el permiso de mi cuenta y borré la app. Me encantaría jugar, parece muy divertido, pero no vale el riesgo", escribió el investigador.
Para revisar qué permisos se le otorga a "Pokemon Go" y otras apps a las que se accede con cuentas Google, se puede acceder
aquí. Aunque Reeve indicó inicialmente que el problema sólo afecta a usuarios registrados desde iOS, otros medios especializados aseguran que también hay casos de personas que usan equipos Android.
