Gotta catch em all – Die derzeit viralste App Pokémon Go nimmt den Spruch etwas zu wörtlich

Am Donnerstag letzter Woche wurde Pokémon Go vom Entwickler Niantic Labs veröffentlicht und verfügte bereits fünf Tage nach Erscheinungsdatum über mehr täglich aktive User als Tinder, sowie vermutlich bald auch Twitter. Egal, wo man hinsieht, an Pokémon Go ist kein Vorbeikommen. Die Feeds der Social Networks sind überschwemmt mit Fotos und Artikeln zum Thema und Gruppen sowie Fanpages schießen wie Pilze aus dem Boden. Was ist mit dieser App, dass die ganze Welt verrückt wird? Neben dem Hype tut sich aber derzeit auch ein großes Problem auf: die massiven Sicherheitsrisiken.

Leichen, Überfälle und Trojaner – und das nach nicht einmal einer Woche

Zugegeben: Auch uns hat der Virus bereits gepackt, obwohl die App in Deutschland offiziell noch gar nicht erschienen ist, sondern vorerst nur Nutzern in den USA, Australien und Neuseeland zur Verfügung steht. Pokémon Go ist ein interaktives Spiel aus dem Augmented Reality Bereich und der erste Smartphone-Gehversuch von Nintendo. Und mit diesem bricht der Spielehersteller alle Rekorde. Nur 13 Stunden nachdem die App veröffentlicht wurde, war sie nicht nur die beliebteste iOS-App der USA, sondern hatte zudem auch noch mehr User als Tinder und in der Kürze der Zeit schon über 50.000 App Reviews. Seit dem Release der App vor nicht einmal einer Woche wurde beim Spielen bereits eine Leiche gefunden und User an sogenannten Poké Stops von Kriminellen überfallen. Dass es weitere Zwischenfälle geben wird, liegt geradezu auf der Hand.

Zwischenfälle die Software betreffend hingegen tun sich derzeit ebenfalls auf und das nicht zu knapp: Weltweit wollen die Spieler nicht auf den offiziellen Release warten, sondern laden sich die App auch hierzulande bereits von Drittseiten. Android-User sollten hier insbesondere aufpassen, denn wie t3n berichtet, haben Mitarbeiter von Proofpoint eine Version des Spiels entdeckt, das mit dem Android-Trojaner Droidjack infiziert ist. Die kriminellen Hacker können durch diesen Trojaner die Kontrolle über das gesamte Smartphone erlangen, weshalb dringend vom inoffiziellen Download abgeraten wird. Die User sollen lieber den Veröffentlichungstermin abwarten, um sicherzugehen.

Die App verlangt volle Zugriffsrechte auf Googlekonten 

Darüber hinaus werden weitere Sicherheitsbedenken laut: Nutzer werden gezwungen, sich bei Pokémon Go mit ihrem Google-Account anzumelden, um spielen zu können. Doch dafür verlangt der Entwickler den kompletten Zugriff auf das Google-Konto. Den wirklich kompletten Zugriff, ohne Ausnahme.

Das bedeutet, dass sowohl Pokémon Go als auch Niantic E-Mails lesen und in deinem Namen versenden können, Zugriff auf alle Google Drive Dokumente haben und diese auch bearbeiten und löschen können, die Suchhistorie der Nutzer und den Standortverlauf einsehen können, Zugriff auf private Fotos in Google Photos haben usw. Mit anderen Worten: Nutzer stellen der App und den Entwicklern ihr Google-Konto zur freien Verfügung. Dies betrifft Inverse zufolge jeden iOS- und einige Android-User. Ob es das Spiel wert ist, muss jeder für sich entscheiden. Es bietet sich hier aber an, eigens für derartige Fälle ein separates E-Mail-Konto anzulegen, das ansonsten keinen Zweck erfüllt.

Nutzer, die sich bereits mit ihrer normalen E-Mail-Adresse angemeldet haben, können den Zugriff auch im Nachhinein noch verweigern, ohne ihre Spielstände zu verlieren.

Niantic Labs, der Entwickler der App, hat gegenüber Recode inzwischen Stellung zu dem Zugriffs-Problem bezogen. So war es angeblich nie die Intention des Anbieters, volle Zugriffsrechte auf Googlekonten zu erlangen. Auch Google hat laut Entwickler eingelenkt und nie weitere Daten als Basisinformationen preisgegeben. Auch will der Suchmaschinengigant laut Niantic die Rechte der App in Kürze einschränken, hier das gesamte Statement des Entwicklers:

We recently discovered that the Pokémon GO account creation process on iOS erroneously requests full access permission for the user’s Google account. However, Pokémon GO only accesses basic Google profile information (specifically, your User ID and email address) and no other Google account information is or has been accessed or collected. Once we became aware of this error, we began working on a client-side fix to request permission for only basic Google profile information, in line with the data that we actually access. Google has verified that no other information has been received or accessed by Pokémon GO or Niantic. Google will soon reduce Pokémon GO’s permission to only the basic profile data that Pokémon GO needs, and users do not need to take any actions themselves.

Bis die Einstellungen definitiv geändert worden sind, stellt die App jedoch weiterhin ein hohes Sicherheitsrisiko dar.

**UPDATE I**

Nachdem Niantic Labs in den letzten Tagen harsche Kritik hinnehmen musste, gibt es nun endlich ein Sicherheits-Update, das die Zugriffsrechte einschränkt. Das Update steht allerdings derzeit nur iOS-Nutzern zur Verfügung.

First Pokemon Go update fixing Google account access bug and more is out now pic.twitter.com/2iaqLhPnSl

— Raymond Wong (@raywongy) 12. Juli 2016

Obwohl der Entwickler gegenüber Mashable versichert hat, dass die App trotz der vollen Zugriffsrechte auf die Google-Konten der Nutzer nur User ID sowie E-Mail-Adresse verwendete, deinstallierte eine große Anzahl an Nutzern die App nach den laut gewordenen Sicherheitsbedenken.

**UPDATE II**

Zum jetzigen Zeitpunkt ist Pokémon Go gerade in Deutschland im Release und steht nun auch offiziell zum Download im Play Store sowie in Apples App Store bereit.

Hast du etwas zu ergänzen? Teile es uns in den Kommentaren mit oder wende dich an redaktion@onlinemarketing.de.