Pokémon Go und Nutzerrechte: Gotta catch 'em all!

Das sehr beliebte Spiel Pokémon Go hat sich das Sammel-Motto offenbar zu Herzen genommen: Beim Einloggen mit einem Google -Konto schnappt sich die App unter iOS fast alle Rechte, die eine App überhaupt verlangen kann. Alles nur ein Versehen, erklärt Hersteller Niantic.

12. Juli 2016 um 10:34 Uhr / Tobias Költzsch

84 Kommentare News folgen (öffnet im neuen Fenster)

Selbst Pikachu ist angesichts der geforderten Rechte erschrocken. (Bild: Nintendo) — Selbst Pikachu ist angesichts der geforderten Rechte erschrocken. Bild: Nintendo

Das kürzlich veröffentlichte Mobile-Game Pokémon Go hat offenbar unter iOS viel zu weitreichende Bedingungen bei der Abfrage von Nutzerdaten. Loggt sich der Nutzer mit einem Google-Konto ein, werden laut Adam Reeve(öffnet im neuen Fenster) weitaus mehr Rechte von der App verlangt als üblich.

Pokémon Go – Trailer (Steh' auf und GO – Juli 2016) (01:55)

Die App hat nach dem Einloggen vollen Zugriff auf das Google-Konto des Nutzers, also beispielsweise auf alle E-Mails, alle Dokumente in Google Drive, den kompletten Browser- und Maps-Verlauf und alle Fotos, die bei Google Photos gespeichert sind. E-Mails können allerdings offenbar nicht versendet werden(öffnet im neuen Fenster) , anders als Reeve zunächst behauptete. Auch auf den Kalender soll es keinen Zugriff geben.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Administrator*innen Netzwerksicherheit Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)

Fachadministrator*in Zahlungsverkehr und Finanzsysteme IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Softwareentwickler User Interfaces (m/w/d) - Embedded & App TARA Systems GmbH, München (öffnet im neuen Fenster)

Beraterin / Berater bzw. IT-Anwendungsbetreuerin / IT-Anwendungsbetreuer für das Finanzwesen (m/w/d) Landkreis Harburg, Winsen (öffnet im neuen Fenster)

Ausbildung FachinformatikerIn- Systemintegration (m/w/d) Werkstatt Lebenshilfe Bergisches Land GmbH, Köln (öffnet im neuen Fenster)

IT- und Fachverfahrenskoordinator/-in (m/w/d) Landeshauptstadt Potsdam, Potsdam (öffnet im neuen Fenster)

Referent/in für curriculare Transformation und flexible Studienmodelle (m/w/d) Pädagogische Hochschule Freiburg, Freiburg im Breisgau (öffnet im neuen Fenster)

Area Vice President Enterprise Development (m/f/d) CGM Clinical Europe GmbH, Koblenz (öffnet im neuen Fenster)

Rechtezugriff wird nicht ohne weiteres ersichtlich

Dem Nutzer werden die weitreichenden Rechtezugriffe beim erstmaligen Einloggen in die iOS-Version von Pokémon Go nicht angezeigt. Reeve hat den Umfang der Rechteabfrage erst herausgefunden, als er sich die erlaubten Rechte in den Google-Einstellungen angeschaut hat.

Reeve selbst hat in einem Blog-Eintrag nach der Entdeckung des gefährlich umfangreichen Zugriffs bereits angemerkt, dass er schlicht eine "epische Nachlässigkeit" seitens des Herstellers Niantic vermute. Dies hat sich mit einem Statement von Niantic(öffnet im neuen Fenster) bestätigt, in dem das Programmierstudio erklärt, dass es sich tatsächlich um ein Versehen handele.

Pokémon Go nutzt trotzdem nur wenige Daten

Niantic erklärt darin, dass es bei der Erstellung eines Nutzerkontos mit einem Google-Account unter iOS zwar zu den umfangreichen Rechteabfragen komme, das Spiel aber nur die Google-ID und die E-Mail-Adresse des Nutzers verwende.

Das Problem soll jetzt durch einen Client-seitigen Fix behoben werden, Nutzer sollen nicht aktiv werden müssen. Laut Niantic hat Google bestätigt, dass es bei den betroffenen Nutzern tatsächlich nur zur Abfrage der Google-ID und der E-Mail-Adresse gekommen ist.

Nachtrag vom 12. Juli 2016, 14:54 Uhr

Anders als von Reeve zunächst behauptet, soll Pokémon Go keine E-Mails im Namen des Nutzers verschicken können. Auch der Kalender soll nicht von der App ausgelesen werden können. Der Artikel wurde entsprechend bearbeitet.