Nel panorama Android ci sono tantissimi giochi alcuni dei quali storici e conosciuti: rientra sicuramente tra questi la serie dedicata a Sonic, famoso personaggio del marchio SEGA.
Purtroppo la notizia di oggi continua a metter in evidenza la fragilità dei sistemi informatici attuali, ove i dati personali degli utenti sono continuamente a rischio: infatti ricercatori della Pradeo Security hanno scoperto che tre giochi della serie Sonic The Hedgehog (esattamente Sonic The Hedgehog Classic, Sonic Dash 2: Sonic Boom e Sonic Dash) utilizzano alcuni server non cifrati i quali possono metter in pericolo i dati degli utenti.
Le app raccolgono infatti alcuni dati del dispositivo che di conseguenza sono a rischio, tra i quali troviamo:
- informazioni rete mobile e rete dati a cui si è connessi
- nome del provider (Vodafone, Tim, ecc)
- tipo di rete in uso
- versione del S.O.
- modello di smartphone in uso e relativo produttore
Come funziona
Il problema nasce dal fatto che viene usata una libreria di terze parti chiamata “Android.Inmobi.D” la quale è usata per monitorare dietro le quinte le campagne pubblicitarie, i crash dell’applicazione e per analisi software.
Il problema sorge perché i server ai quali le app vanno a connettersi presentano dei problemi di sicurezza, infatti tre di questi 11 server non sono certificati e non usano connessioni sicure (HTTPS), questo espone i server ad un attacco Man-In-The-Middle potendo così diventare veicolo di malware, tentativi di phishing o chissà che altro.
I ricercatori sottolineano che la stessa libreria, o altre con caratteristiche similari, sono molto usate dagli sviluppatori e sono molte le app nel Play Store che possono risultare a rischio come in questo caso.
SEGA non ha ancora risposto alla segnalazione degli sviluppatori.
Via: Threat Post