La Oficina de Seguridad del Internauta (OSI) ha comunicado recientemente que tres juegos para móviles de la compañía SEGA están enviando información de la geolocalización y datos de la red móvil y de los dispositivos a 11 servidores externos, entre los que se encuentran tres que no están certificados y, por tanto, pueden suponer una amenaza a la privacidad de la información de los usuarios.
Además, dos de los tres servidores no certificados están relacionados con la aplicación “Android Inmobi”, considerada potencialmente no deseada por exponer a las aplicaciones a inyecciones de javascript, entre otras amenazas.
En concreto, los tres juegos de los que hablamos son: Sonic Dash, con más de 100 millones de descargas en Google Play; Sonic the Hedgehog Classic y Sonic Dash 2: Sonic Boom, ambas con más de 10 millones de descargas.
A la hora de instalarlas, estas tres aplicaciones solicitan una serie de permisos con los que se pretende recabar información de los usuarios para mejorar su experiencia.
Entre la información que recopilan se encuentra la geolocalización de los jugadores a través del GPS de los dispositivos, el proveedor de servicios, el tipo de red, el nivel de batería y el fabricante del teléfono móvil, así como el modelo y la versión del sistema operativo del mismo.
Un análisis realizado a estas tres aplicaciones ha confirmado que cuentan con un total de 15 agujeros de seguridad, de los cuales dos son muy críticos ante ataques de intermediario (Man-In-The-Middle), con los que se podrían interceptar, leer, transmitir e incluso cambiar los mensajes enviados entre la aplicación y el servidor, y ante ataques de denegación de servicio (DDoS, por sus siglas en inglés).
La OSI recomienda a los usuarios que desinstalen estos juegos de sus dispositivos hasta que SEGA encuentre una solución a las vulnerabilidades y lance un parche de seguridad. Asimismo, destaca la precaución a la hora de dar permisos a cada una de las aplicaciones que instalamos.
La Policía, por su parte, también ha alertado a través de la red social Twitter de la existencia de estas vulnerabilidades en las aplicaciones Sonic y concluye que se deben desinstalar.