Denuncian que 3 videojuegos de Sonic permiten el robo de datos

Tres videojuegos oficiales de la saga Sonic para dispositivos móviles Android, desarrollados por el estudio japonés SEGA, presentan varias vulnerabilidades que pueden dar lugar a la filtración de datos confidenciales, según ha advertido la compañía de ciberseguridad Pradeo.

Las tres aplicaciones afectadas por la vulnerabilidad son Sonic Dash, con más de cien millones de descargas en la plataforma Google Play; Sonic the Hedgehog Classic y Sonic Dash 2: Sonic Boom, ambas con más de diez millones de descargas. Todas ellas se encuentran disponibles en Google Play y son gratuitas.

El análisis de los videojuegos de SEGA ha revelado que todos ellos geolocalizan la posición de los jugadores a través del GPS de los dispositivos móviles. Las aplicaciones envían la ubicación y otros datos sobre el dispositivo, como el modelo de teléfono, el sistema operativo o la conexión de datos que utiliza, a servidores externos, según ha explicado Pradeo a través de su blog.

Los juegos envían la información a once servidores remotos con «fines de seguimiento y marketing», según señalan desde Pradeo. De estos servidores, tres, además, son identificados como no certificados por parte de la compañía de ciberseguridad de origen francés, que asegura que «representan una potencial amenaza».

Las tres aplicaciones cuentan también con otras vulnerabilidades críticas ante ataques de intermediario (’man in the middle’), que permitirían interceptar los mensajes enviados entre la aplicación y el servidor, y ante ataques de denegación de servicio (DDoS) o robos de datos sensibles.