Tre giochi ufficiali per Android sono sotto torchio per aver raccolto senza permesso la geolocalizzazione degli utenti, trasmessa a server di terze parti
La società di sicurezza informatica Pradeo ha indagato a fondo su Sonic Dash, Sonic the Hedgehog Classic e Sonic Dash 2: Sonic Boom, tre giochi ufficiali di Sega prodotti per Android. Il motivo? Pare che tutti raccolgano indebitamente la posizione GPS degli utenti inviandola poi a server di terze parti, insicuri e dalle dubbie finalità. Il problema è più grave del previsto, data la mole di persone che ha scaricato le app incriminate sui propri dispositivi, circa 550 milioni. Ma non è tutto, stando ai ragazzi di Pradeo, escono dal terminale anche informazioni ulteriori, che riguardano le caratteristiche principali del telefono, la rete cellulare e l’OS di bordo. Insomma, un porcospino che oltre a correre veloce ruba più del dovuto, mandandolo a 11 server diversi, dislocati un po’ ovunque sul pianeta.
Gli hacker pronti a violarle
Se sono in corso diverse indagini per capire dove vadano a finire i dati raccolti dalle applicazioni di Sega, Pradeo è andata ancora più a fondo, scovando a bordo di queste 15 vulnerabilità che interessano il protocollo Open Web Application Security Project (OWASP). “Al di là di tutti i problemi individuati, c’è da considerare che i giochi ospitano due falle critiche, sfruttabili tramite un attacco man-in-the-middle. Le altre aprono a scenari ugualmente preoccupanti, come DoS, furto di informazioni sensibili, anche se crittografate” – hanno spiegato dal team.
A quanto pare, lo sviluppatore giapponese ha reagito prontamente alle analisi dell’agenzia di sicurezza, spiegando che le attività illecite portate avanti dai partner di terze parti saranno terminate al più presto. Intanto, c’è da capire in che modo rafforzerà le misure protettive dei tre Sonic, la cui presenza sul Play Store non è mai stata messa in discussione, nemmeno dopo i recenti fatti.
