De razend populaire game Pokémon GO, waarin mensen in de echte wereld met behulp van augmented reality digitale wezens proberen te vangen, blijkt vrijwel alle mogelijke data van gebruikers op te slaan en te gebruiken. De privacysettings van de door een Google spin-off ontwikkelde app roepen vraagtekens op bij kritische telefoongebruikers.


Pokémon is een reeks games waarin spelers door een wereld lopen en zoveel mogelijk Pokémon, dierachtige fantasiewezentjes, moeten vangen. De Pokémon (een afkorting voor pocket monsters) kunnen met elkaar vechten en worden zo steeds sterker. De spellen zijn al jaren razend populair. Met Pokémon GO, dat deze week in een aantal landen verscheen, maakt spellenmaker Nintendo de overstap naar de markt van mobiele telefoons.

Dewgong

Het bedrijf combineert het idee van de pokémonspellen met augmented reality (AR). Bij AR krijgt de echte wereld een extra laag, vaak via smartphone of tablet, die informatie toevoegt. In dit geval kan een Pokémon GO-speler de pokémon-wezens vinden in de echte wereld. Aan zee bijvoorbeeld Shellder, een schaaldierpokemon, of Dewgong, die veel weg heeft van een zeehond. In de stad zijn vaker Rattata, de ratpokemon of Pidgey, de duifachtige, te vinden.

Het succes van Pokémon GO was meteen enorm. Het aandeel van Nintendo in Japan steeg met 20 % en sterke verhalen en anekdotes (met twijfelachtige geloofwaardigheid) zijn niet van de lucht. Een enorme hit dus, maar er is een schaduwkant. De app vereist namelijk een dat het behoorlijk wat toegang krijgt tot persoonlijke informatie op je telefoon, met mogelijk nare gevolgen.

 

Onder andere je locatie, contacten, mogelijkheid om de telefoon niet in ruststand te laten gaan en automatisch opstarten als de telefoon aangaat zijn eisen om de app te gebruiken. Deels zijn dit dingen die onmisbaar zijn om de app goed te laten werken. Zo is de locatie belangrijk, omdat de beschikbaarheid van pokémon locatieafhankelijk is. Er zit echter ook veel info in die voor de app niet essentieel is. Veelzeggend is dat de iOS-versie op Apple-apparaten minder toegang vereist dan de Android-versie. iOS staat toegang tot bepaalde informatie niet toe. Dat de app toch werkt op het besturingssysteem van Apple, betekent dat de gevraagde gegevens op Android niet alleen de minimaal nodige zijn - er wordt meer vergaard, mogelijk met een ander doel dan een goed werkend spel.


Full access

Aanvankelijk gingen veel wenkbrauwen omhoog vanwege de formulering van het niveau van toegang tot de telefoon. Op iOS-toestellen wilde de app 'full access' op de telefoon hebben. Google verklaarde dat deze verwoording een gevolg is van slecht programmeren van de maker van de app, Niantic Labs. Het bedrijf had de zogenoemde shared sign-on service, die inloggen in andere apps via een Google-account makkelijk moet maken, niet genoeg gespecificeerd. Daardoor liet het de standaardtekst 'full access' zien. Volgens de internetreus betekent dit echter niet wat je zou denken. Een beveiligingsexpert vertelde aan de Britse Krant The Guardian dat de app inderdaad geen volledige toegang heeft. De kalender en e-mail bleven ontoegankelijk.   

UPDATE: Niantic heeft de app geupdate en inmiddels vraagt Pokemon GO geen full acces meer. Alleen het emailadres en je Google-profiel (dat openbaar is en naar wens aan te passen door de gebruiker) zijn nu nog nodig.

Rattata


Locatie, locatie, locatie

Toch zijn hiermee niet alle zorgen weg. Voor wie het wil (dit is geen verplichting) kan Pokémon GO constant je locatie bijhouden. Zo kun je op alle plekken waar je op een dag komt pokémon vangen. De kans is echter groot dat deze locatiedata in handen van Google komen. Die slaat het op en kan het doorverkopen aan derde partijen voor advertenties en andere 'diensten'. Dit is een bekende manier van Google om geld te verdienen aan hun gratis apps en internetdiensten.

Pidgey

Een ander mogelijk gevaar is dat opsporingsdiensten het hiermee erg makkelijk krijgen. Pokémon GO is miljoenen keren gedownload. Al die mensen delen continu hun locatiedata, die wordt opgeslagen bij Google. Een opsporingsdienst als de FBI kan die data via een rechterlijk bevel te pakken krijgen om (vermeende) criminelen eenvoudig op te sporen.

Ten slotte is er een gevaar voor landen als Nederland. Omdat de app hier nog niet officieel uit is, downloaden veel mensen het via een omweg op hun Android-device. Bij zo'n omweg is vaak een partij betrokken die niet bij Google of Nintendo hoort. Wat zij doen met alle gegevens die je als gebruiker openstelt, is onbekend. In dit geval is die onbekendheid het gevaar: waar een groot bedrijf als Google een zeker vertrouwen geniet – al is het maar vanwege het vergrootglas waarmee men ernaar kijkt – zijn deze kleine partijen die apps kopiëren en online gooien minder goed te controleren.


Jonge kinderen

De eisen van Pokémon GO zijn deels voor de hand liggend, maar voor veel gebruikers komen ze mogelijk als een verrassing. Een spelletje dat zich richt op jonge kinderen, dat vervolgens allerlei persoonlijke informatie vraagt; het is niet verrassend dat dat sommige mensen een onprettig gevoel geeft, ook omdat de kinderen zelf waarschijnlijk de (mogelijke) gevolgen niet inzien. Het lijkt echter weinig impact te hebben op de populariteit van de app; in een paar dagen werd GO vaker gedownload dan de Twitter-app.