Jogos mobile do Sonic correm risco de vazar informações de usuários

Em meio à incrível onda de falhas de segurança recentemente divulgadas, eis que mais um meio de entretenimento é colocado na linha de fogo. Através de uma pesquisa publicada recentemente, especialistas da área divulgaram que três jogos do famoso ouriço Sonic the Hedgehog, disponíveis para Android, correm risco de vazar informações de seus usuários, fornecendo dados particulares a servidores suspeitos e, por tabela, colocando milhares de pessoas em risco.

Os jogos em questão são: o primeiro Sonic the Hedgehog, Sonic Dash 2: Sonic Boom e Sonic Dash. Todos são distribuídos pelo serviço Google Play e seus downloads já atingiram mais de 100 milhões.

Os pesquisadores da Pradeo Security Systems fizeram a descoberta na semana passada. De acordo com Vivien Raoul, diretor-chefe de tecnologia e cofundador da empresa, dois dos aplicativos estão conectados à “Android / Inmobi.D”, uma biblioteca externa utilizada no desenvolvimento dos jogos da SEGA, que armazena repositórios de códigos públicos.

Estes códigos são usados para fins de publicidade e criam um back-channel para que os anunciantes possam monitorar suas campanhas de marketing, realizando relatórios de falhas e análises de software. Cada um dos aplicativos se conecta a pelo menos 11 servidores (sendo que 3 destes não são certificados), de modo que possam retransmitir as informações.

Segundo Raoul em entrevista ao Threatpost, os servidores não verificados são campos férteis onde cibercriminosos podem colher alvos à medida em que reconhecem terreno. O pesquisador ainda revelou que os servidores sem certificado variam para quem não utiliza Hypertext Transfer Protocol Secure (HTTPS), que protegem os dados emitidos e recebidos. Por outro lado, os servidores que suportam HTTPS, tem certificados assinados por autoridades não confiáveis. Por fim, ele também disse que os servidores não confiáveis incluíam certificados listados em listas negras por profissionais de segurança, já que estes possuíam laços com distribuição de malware, ataques por phishing e outros meios maliciosos de ciberataque.

Os pesquisadores revelaram que os aplicativos da Sega contínham 15 falhas Open Web Application Security Project (OWASP). Dentre as vulnerabilidades destacadas no relatório, algumas mais sérias e que podem gerar erros graves também foram detectadas, ao passo que as outras podem resultar em negação de ações, vazamento de informações particulares e enfraquecimento de criptografia do dispositivo.

Até o momento, a Sega America não se pronunciou a respeito deste rebate.

Bem além do ouriço azul

A pesquisa ainda vai além dos jogos do Sonic, já que muitos outros aplicativos, igualmente populares em lojas oficiais, também utilizam variantes da biblioteca defeituosa Android/Inmobi.D, colocando, portanto, os usuários em risco. Raoul ainda ressalta a necessidade de os desenvolvedores analisarem cuidadosamente as bibliotecas para repositório de códigos públicos que utilizam.

Outra dica fornecida pelo pesquisador foi para que os desenvolvedores de aplicativos considerem com bastante cautela os tipos de dados que serão coletados dos usuários, quando estes cedem permissões ao programa, pois sempre existe o risco de que algumas dessas informações possam vazar acidentalmente.

Fonte: Threatpost, Pradeo