Pesquisadores da Pradeo encontraram três jogos do Sonic the Hedgehog que podem acabar vazando informações sensíveis de usuários, como a geolocalização e detalhes do aparelho. Os aplicativos estão Play Store para Android e já foram baixados mais de 100 milhões de vezes.
De acordo com os pesquisadores, as três aplicações podem sofrer ataques man-in-the-middle ("homem no meio", um agente malicioso que intercepta informações) e vulnerabilidades similares. Os jogos em questão são esses: Sonic the Hedgehog Classic, Sonic Dash 2: Sonic Boom e Sonic Dash. Os games ainda podem ser baixados na Play Store.
A Sega ainda não comentou sobre o caso, mesmo após os pesquisadores notarem que cada app contém mais de 15 falhas
Como nota o Threadpost, os pesquisadores alertaram a Sega Games que os apps podem vazar informações sensíveis, como geolocalização do aparelho, informações de rede, operadora, tipo de rede, versão do sistema operacional, modelo do dispositivo e a fabricante.
O CTO da Pradeo, Vivien Raoul, comentou que os apps são conectados à um servidor terceiro, o "Android/Inmobi.D". "O código é usado para fins de marketing e cria um back-channel para anunciantes monitorarem campanhas publicitárias, realizarem relatórios de falhas e análises de software. Em geral, cada um dos aplicativos se conecta a aproximadamente 11 servidores para retransmitir informações, com três servidores não certificados".
A Sega ainda não comentou sobre o caso, mesmo após os pesquisadores notarem que cada app contém mais de 15 falhas catalogadas no Open Web Application Security Project (OWASP).
Fontes
Categorias