Ahora León / INCIBE / Ciberseguridad
La compañía de seguridad móviles Pradeo ha detectado recientemente que varios juegos para móviles publicados por la compañía SEGA envían información de la geolocalización, datos de la red móvil y datos de los dispositivos a once servidores diferentes, de los cuales tres no se encuentran certificados y pueden suponer una amenaza. En concreto, según detalla la empresa Pradeo en su blog, los juegos afectados son Sonic Dash, Sonic the Hedgehog™ Classic, y Sonic Dash 2: Sonic Boom.
Recursos afectados
Aquellos usuarios que hayan descargado en sus dispositivos móviles Android alguna de las tres aplicaciones afectadas, Sonic Dash, Sonic the Hedgehog™ Classic, o Sonic Dash 2: Sonic Boom.
Solución
Si has descargado alguna de las aplicaciones afectadas, por el momento, la única forma de impedir que se filtren los datos, es desinstalar la aplicación hasta que SEGA solucione estos problemas lanzando una actualización de seguridad de las apps afectadas.
Detalles
Las aplicaciones afectadas por este problema, Sonic Dash, Sonic the Hedgehog™ Classic, y Sonic Dash 2: Sonic Boom, solicitan diversos permisos a la hora de instalarlas con el fin de recolectar información de los usuarios para mejorar la experiencia del usuario. En concreto, solicitan datos de la geolocalización de los usuarios, datos de la red móvil (como el proveedor de servicios y el tipo de red) y datos del dispositivo en el que se instaló la aplicación, como fabricante, modelo, nivel de batería o versión del sistema operativo.
Dichos datos son enviados a once servidores de los cuales, al parecer, tres no se encuentran certificados y además, dos de ellos están relacionados con una aplicación potencialmente no deseada llamada “Android/Inmobi. D”, por lo que pueden suponer una amenaza.
Por otro lado, además de la información filtrada, un análisis de las vulnerabilidades de la aplicación demuestra que entre las tres, cuentan de media con 15 vulnerabilidades. De estas, las más críticas son dos que permitiría realizar un ataque capturando los datos transmitidos por el juego (de man-in-the-middle).
Los responsables de SEGA ya han confirmado que están al tanto de los problemas detectados y que están trabajando para depurar responsabilidades.
Para evitar verse afectado por este tipo de problemas, la mejor recomendación es revisar siempre las aplicaciones que descargamos en los dispositivos móviles teniendo en cuenta consideraciones generales como las siguientes:
- Comprobar quién es el desarrollador de la aplicación.
- Fijarse en el número de descargas de la app.
- Permisos que solicitan para poder usarse.
- Descargar aplicaciones de fuentes fiables, y si es posible solo de tiendas oficiales.
- Revisar los comentarios y la valoración de los usuarios de la app.
