Tres juegos de Sonic de la Play Store filtran datos de sus usuarios

Escrito por David Onieva
Actualidad

De nuevo os vamos a hablar de una serie de apps encontradas en la tienda oficial de Google en las que se ha detectado un funcionamiento no esperado que pone en peligro tanto la seguridad como la privacidad de los datos de sus usuarios una vez las han descargado.

Esto ha sido descubierto por un investigador de seguridad de Predeo, ya que ha encontrado tres aplicaciones del popular juego Sonic en la Google Play publicadas por SEGA, que filtran los datos de los usuarios a través de servidores no certificados. En concreto nos referimos a los títulos de Android, Sonic Dash, Sonic Hedgehog Classic y Sonic Dash 2: Sonic Boom, que dicho sea de paso, ya se han descargado millones de veces en todo el mundo.

Por tanto lo que se ha descubierto es que estas aplicaciones en concreto, están filtrando datos de geolocalización y referente a los dispositivos de los usuarios, todo ello a servidores sospechosos, lo que supone una amenaza para la privacidad de los jugadores móviles, según los investigadores. Lo llamativo de todo ello es que estos juegos fueron publicados en la Google Play por la misma SEGA, que como sabréis es el conocido desarrollador y editor de estos videojuegos que acceden y filtran datos de geolocalización y de los dispositivos de los usuarios.

Android Symantec

Como es evidente, ahora cientos de millones de estos están preocupados por estas violaciones de su privacidad, ya que como se ha podido saber, estos títulos de Sonic envían datos a 11 servidores, tres de los cuales no están certificados. Es evidente que la mayoría de estos servidores recogen datos para fines relacionados con el de marketing, pero el experto en seguridad observó que dos de los tres servidores no certificados están vinculados a una aplicación potencialmente no deseada llamada “Android/Inmobi. D”.

Serias vulnerabilidades en 3 juegos de Sonic de la Play Store

De hecho esta app está clasificada como una librería de publicidad que se incluye en algunas aplicaciones Android, lo que afecta directamente a las aplicaciones Sonic que también filtran información de la red móvil, incluyendo el nombre del proveedor de servicio, el tipo de red que usamos, o la información del propio dispositivo como su fabricante, modelo, nivel de batería, versión del sistema operativo, etc. Por lo tanto se ha realizado una evaluación de las vulnerabilidades para estas tres aplicaciones implicadas y descubrieron un promedio de 15 fallos OWASP (Open Web Application Security Project).

Es más, se han descubierto dos fallos críticos denominados “X. 509TrustManager” y “PotencialmenteByPassSslConnection”, que podrían ser explotados por los hackers para activar ataques “man-in-the-middle”, por lo que podrían acceder a todos esos datos transmitidos por los juegos.

Fuente > SecurityAffairs

Compártelo. ¡Gracias!
Continúa leyendo