Fehler im Anmeldeprozess: Pokémon Go greift auf alle Daten eines Google-Kontos zu

Die iOS-Version des Mobilspiels Pokémon Go erhält bei der Anmeldung mit einem Google-Konto Zugriff auf alle dort gespeicherten Daten. Allerdings fordert die App den vollständigen Kontozugriff gar nicht ein – ein Nutzer erfährt also nicht, über welche Rechte Pokémon Go tatsächlich verfügt. Darauf weist der Sicherheitsforscher Adam Reeve in einem Blogeintrag hin.

Davon betroffen sind offenbar aber nur iPhones und iPads. Bei Android-Geräten soll der Fehler nicht auftreten. Bei Tests von ZDNet USA mit zwei iPhones informierte die App nicht wie eigentlich vorgesehen über die Daten, die sie abruft. Stattdessen werden nur die Nutzungsbedingungen angezeigt, die keinen Hinweis auf den vollständigen Kontozugriff liefern.

Die App kann jedoch alle mit einem Google-Konto verbundenen Dienste und Daten einsehen. Sie erhält also Einblick in persönliche Informationen wie Fotos, E-Mails, Browserverlauf, Kalendereinträge, Suchverlauf, Standortdaten und auf Google Drive gespeicherte Dateien.

Niantic, der Entwickler des Spiels, hat inzwischen einen Fehler im Anmeldeprozess eingeräumt. Unter iOS werde versehentlich „der vollständige Zugriff auf das Google-Konto des Nutzers eingefordert“. „Trotzdem ruft Pokémon Go nur Basis-Profildaten (insbesondere Ihre User-ID und E-Mail-Adresse) ab. Andere Kontoinformationen werden und wurden nicht abgerufen oder gespeichert“, teilt das Unternehmen mit. Google habe bestätigt, dass weder Pokémon Go noch Niantic andere Daten erhalten hätten.

Die Datenschutzrichtlinie des Spiels weist allerdings ausdrücklich darauf hin, dass Daten gesammelt werden – auch solche, die eine Identifizierung des Nutzers erlauben. Sie werden als „Betriebsvermögen“ angesehen. Sollte das Unternehmen beispielsweise verkauft werden, würden auch die Daten an den neuen Eigentümer übergehen.

Inzwischen hat Niantic einen clientseitigen Fix entwickelt, der sicherstellt, dass die App nur Basisdaten des Kontos abfragt. Google werde zudem die Rechte des Spiels auf die Basisdaten beschränken, ergänzte das Unternehmen. Nutzer müssten keine Maßnahmen ergreifen.

Wer die unwissentlich erteilten Rechte trotzdem widerrufen will, muss sich bei seinem Google-Konto anmelden und auf der Übersichtsseite in der Rubrik „Anmeldung & Sicherheit“ die verbundenen Apps und Websites aufrufen. Dort sollte dann Pokémon Go als „mit Ihrem Konto verbundene App“ angezeigt werden. Ein Klick auf den Eintrag erlaubt es, den Zugriff zu beenden. Allerdings gehen dann auch alle bisher gespeicherten Spielstände verloren.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.