3 juegos de Sonic para Android con vulnerabilidades y filtración de datos

La semana pasada la empresa Pradeo publicó en su blog un informe referente a vulnerabilidades en varios juegos de Sonic (el famoso erizo) que además de suponer un peligro por sí mismas están enviando datos de los usuarios a servidores remotos sin consentimiento de los usuarios. Entre los datos compartidos sin permiso se encuentran nombres de jugador, posicionamiento GPS y detalles sobre el dispositivo.

3 juegos de Sonic para Android con vulnerabilidades y filtración de datos

Nos referimos exclusivamente  los juegos de Sonic para Android de la empresa Sega, concretamente 3: 

 

  • Sonic Dash: cuenta con entre 100 y 500 millones de descargas en Google Play.
  • Sonic Dash 2: Sonic Boom: de 10 a 50 millones de descargas.
  • Sonic the Hedgehog Classic: de 10 a 50 millones de descargas.

Solicitan y revelan información sensible del jugador

Los datos que mencionamos como “sensibles” y que son recopilados por la aplicación son enviados además a servidores sospechosos, asociados con una variante de Inmobi.D, una librería de anuncios potencialmente no deseada que se incluye en estas y otras aplicaciones de Google Play Store.

Durante la instalación de estos juegos se solicitan diversos permisos que la aplicación aprovecha para “mejorar la experiencia del usuario”. Concretamente se nos pide revelar la geolocalización, proveedor de servicios y tipo de red móviles y otros datos sobre el hardware del aparato: fabricante, modelo, batería o versión de Android instalada.

Como usuarios nos debería preocupar el uso que se haga de nuestros datos cuando son transmitidos a un servidor de terceros, principalmente por si estos son vulnerables y pueden ser accesibles para otros a su vez.

Las apps de Sonic contienen vulnerabilidades

Pero no solo estamos hablando de recopilación excesiva de información personal, sino que además estas 3 aplicaciones de Sega han demostrado estar infestadas de vulnerabilidades, de las cuales varias son críticas (así lo indica Pradeo en su análisis):

Entre las vulnerabilidades detectadas en las aplicaciones de Sega hemos identificado dos críticas que nos ponen en una situación vulnerable frente a ataques Man-in-the-Middle (X.509TrustManager y PotentiallyByPassSslConnection). Las otras vulnerabilidades OWASP detectadas podrían producir una denegación de servicio, revelación de datos sensibles y mostrar debilidades en el cifrado usado.

qué hacer mientras lo solucionan

Sega ha confirmado a diversos medios como ZDNet que está actualmente trabajando en aplicar parches para acabar con estos fallos de seguridad:

Si determinados partners están recopilando, trnasmitiendo o utilizando datos de forma que no es permitida por nuestros acuerdos con terceros o infringiendo la política de privacidad de Sega, tomaremos pronto acciones correctivas.

De momento y hasta que se aclare el estado de estas apps es conveniente dejar de utilizarlas. Además, debemos recordar siempre unas precauciones básicas a aplicar cuando vayamos a instalar una aplicación en nuestro móvil, sobre todo en Android:

  • Comprobar quién es el desarrollador de la aplicación.
  • Fijarse en el número de descargas de la app.
  • Permisos que solicitan para poder usarse.
  • Descargar aplicaciones de fuentes fiables, y si es posible solo de tiendas oficiales.
  • Revisar los comentarios y la valoración de los usuarios de la app.

Te dejamos un enlace a nuestro artículo en el que aprenderás a controlar los permisos de Android y así evitarás sobresaltos al instalar futuras apps.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.