3 популярные игры для ОС Android из серии Sonic the Hedgehog (Еж Соник), загруженные более 100 миллионов раз, передают информацию о геолокации пользователей и другие персональные данные на несколько подозрительных серверов, сообщили эксперты по кибербезопасности из компании Pradeo Security Systems.
Как заявили исследователи, данное поведение зафиксировано в 3 приложениях: Sonic the Hedgehog Classic, Sonic Dash 2: Sonic Boom и Sonic Dash. Все игры распространяются через официальный магазин Google Play.
Все 3 приложения отправляют на серверы информацию о геолокации, мобильной сети, поставщиках услуг, типах сетей, а также о версии ОС, модели и производителе устройства. По словам исследователей, в двух приложениях используется сторонняя библиотека Android/Inmobi.D. Данная библиотека доступна через многие открытые репозитории. Код используется для маркетинговых целей и создает обратный канал для рекламодателей, позволяя им проводить мониторинг рекламных кампаний, собирать отчеты о сбоях и анализировать программное обеспечение. В общей сложности, каждое из приложений подключается к примерно 11 серверам для передачи информации, три из которых не сертифицированы.
Подобные ненадежные серверы позволяют злоумышленникам собрать информацию о наиболее привлекательных жертвах, а затем атаковать их с помощью специально созданного под них вредоносного ПО, отметили специалисты. Помимо этого, исследователи заявили, что каждое из приложений содержит по меньшей мере 15 уязвимостей.
«Среди уязвимостей, обнаруженных в анализируемых приложениях, мы выделили две наиболее опасные. Данные уязвимости (X.509TrustManager и PotentiallyByPassSslConnection) позволяют осуществить атаку типа «человек посередине». Другие уязвимости могут привести к отказу в обслуживании (DoS), утечке данных и пр.», – следует из отчета. Издатель игр, японская компания Sega Games, заявила, что уже изучает данную проблему.
«Sega усердно работает над решением любых технических проблем, ставящих под угрозу данные клиентов. Если какие-либо сторонние партнеры собирают, передают или используют данные способом, который не разрешен нашим соглашением с третьей стороной или не соответствует политике конфиденциальности мобильной связи Sega, будут предприняты быстрые корректирующие действия», – заявили представители Sega.