読者です 読者をやめる 読者になる 読者になる

PokeIV

Pokemon Goの強さを調べる

捕まえたポケモンにも個体値という感じで、同じ種類でも強かったり弱かったりするそうです。
その強さを調べるために、先行公開された地域の人がデータを色々調べたりしていたようで。

ポケモンスクリーンショットをアップしたり、それぞれのデータを入力するとか色々な方法があります。

まぁどれも面倒なんで、そのうち調べるのやめちゃおうとかそんな感じに遊んでいくゲームなんですが、それをいきなりポケモンGoアカウントにアクセスして情報を抜いちゃおうというサイトがありました。

https://pokeiv.net/pokeiv.net

というサイトなんですが、まぁ怖いです。

以前の時に書いたのですが、ポケモンGoを遊ぶ場合、Googleアカウントかポケトレのアカウントだったかな?のどちらかを使います。
このサイトはGoogleアカウントに紐付いた所で内部データを使っちゃって、ポケモンの値を調べちゃおうという感じ。

OAuth認証でデータを抜いているという事なんで、試してみました。
正直いって仕組みを理解していても怖いです。
OAuth認証ではパスワードを抜かれる事はありませんが、データを使うことは出来たはず。

つまりこのサイトが「お前のポケモンGoデータを滅茶苦茶にしてやるぜっ!」と思えば出来ます。(極論ですけど)

そしてポケモンGo内部でコインを買うことは出来ませんが、買ったコインを使うことはできるんです。 そう考えると規約違反という事も出来るんじゃなかろうか。

自己責任云々とありましたので、試してみました。

f:id:wwater:20160803165455p:plain

こんな感じだったので右上を押してみる。 すると別ウィンドウか別タブで下の画面が開きます。

f:id:wwater:20160803171811p:plain

ん、ググタスログインだろー、みたいな感じですな。
ちと調べてみると「angular」のフレームワークを使った物なんだなぁ。
Javascriptを使って、色々しとる。

f:id:wwater:20160803172334p:plain

とまぁ、Google側にこれだけの情報アクセスの許可を貰いますよ、という事です。
これをクリックすると

f:id:wwater:20160803172735p:plain

こんな感じで認証用のコードが精製させる訳です。
これはGoogleが発行したアドレスなので、この段階ではまだ認証コードは相手サイトに渡っていないはず。
それでもやってみる。

さっきのコードをコピペして、元のウィンドウにある部分に貼り付ける。
そしてログインを押すと……

f:id:wwater:20160803173038p:plain

さて、ここからGoogleのアカウント情報を見てみる。 「接続済みのアプリとサイト」→「アプリを管理」を見てみると、それっぽいものがある。

そのまんまの名前で「Pokemon Go」ですね。

これを削除すればいいと思う。

で、別アカウントでも確認してみたんだけど、正規のポケモンGoアプリはGoogleアカウントにアクセスしていない

えー、って事はここにアクセスしているそれらしいアクセスが前pokeivの認証なのね、削除しましょう。
Google+に実名公開などプロフィールにまつわるものを表示している場合、それ関係のデータは抜かれている可能性は高いです。

メールアドレスと、設定してある名前は最低限相手方が情報を持つ訳です。
しかしびっくりなのが、どうやってNianticが認識しているのかと考えたんだけど、わからん。 各種端末から情報抜いて、Niantic側のサーバーに保存しているだけかな。 だとしたら、さっきのサイトはポケモンデータとの紐付けをどうしているのかわからんぞー。

追記(2016/08/04)

本物のポケモンGoaccess_tokenを使っていませんね、なんかGmailアドレスのみでアクセスを行っている感じです。

つまりアプリアクセスとしての履歴は残らない?フルアクセスを要求している割には、データ管理はNiantic本体のみで行っているのか。

その後のポケモンGoの新たなサービス展開するつもりだった入り口が、PokeIVに利用されている感じかな?

このあたりは推測ですので間違っている可能性は高いです。

https://aboutme.google.com/

ここに自分でアクセスすると、相手方にわたる情報が確認できると思います。

うーん、何か自分勘違いしているかなぁ。 把握できてない情報があると、流石に不安になります。

もしpokivつかって不安な人がいる場合は、Googleアカウントのアクセス管理で、先ほどの認証を削除すれば問題無い(はず)ですよー。
すでに抜かれているものはどうしようもないですけど、削除以降はいたずらされる可能性は低くなります。

広告を非表示にする