Varios videojuegos de Sonic para dispositivos Android, oficiales y distribuidos por la propia SEGA, estarían filtrando datos comprometidos de sus usuarios y jugadores a servidores no cifrados. Esto comprometería la seguridad de los terminales usados para jugar a estos títulos, entre los que se encuentran Sonic Dash, Sonic the Hedgehog Classic, y Sonic Dash 2: Sonic Boom. La Policía Nacional y el Instituto Nacional de Ciberseguridad habrían alertado de ello.
Usarían sin permiso información sensible como la localización
Pradeo, firma de seguridad informática que habría descubierto esta brecha de seguridad, confirma que las citadas aplicaciones para Android envían información de la geolocalización, datos de la red móvil y datos de los dispositivos a once servidores diferentes, de los cuales tres no se encuentran certificados y pueden suponer una amenaza.
Es habitual que algunos juegos y servicios recojan datos que ayuden a la experiencia de juego o la propia editora y desarrolladora, pero la información sensible del usuario que se enviaría a estos servidores no seguros porporcionaría datos como el nivel de batería, el tipo de terminal que se está usando, la versión del sistema operativo o incluso la localización del jugador en ese preciso instante. No son las únicas vulnerabilidades detectadas.
Según la misma firma de análisis de seguridad, Sonic Dash, Sonic the Hedgehog Classic, y Sonic Dash 2: Sonic Boom, que suman entre ellas más de 150 millones de descargas en Google Play, albergarían diferentes brechas de seguridad que comprometerían la integridad del dispositivo en el que la hayamos instalado. Esto quiere decir que nuestro dispositivo Android podría haber enviado información confidencial a servidores remotos no deseados, y que estos datos, pudieran ser utilizados en un ataque silencioso a través del videojuego conocidos en el argot como man-in-the-middle.
Medidas y soluciones
¿Qué hacer en estas situaciones? Desde los canales oficiales se nos ofrecen varios consejos útiles.
1. Comprobar quién es el desarrollador de la aplicación.
2. Fijarse en el número de descargas de la app.
3. Permisos que solicitan para poder usarse.
4. Descargar aplicaciones de fuentes fiables, y si es posible solo de tiendas oficiales.
5. Revisar los comentarios y la valoración de los usuarios de la app.
Algunos #juegos para móviles de SEGA envían información de la geolocalización, datos de la red móvil o de los dispositivos. Cuida tu privacidad. ¡Desinstala! https://t.co/eDvvlGDiIK pic.twitter.com/Cgu7buZENd— Policía Nacional (@policia) 24 de enero de 2018
Sin embargo, hablamos de apps oficiales y con un historial seguro detrás. Si bien SEGA está trabajando en una actualización, os recomendamos que procedáis a desinstalar la aplicación hasta que SEGA solucione estos problemas.
