Популярные игры от Sega отправляют данные пользователей на подозрительные серверы

23 января

3 популярные игры для ОС Android из серии Sonic the Hedgehog (Еж Соник), загруженные более 100 миллионов раз, передают информацию о геолокации пользователей и другие персональные данные на несколько подозрительных серверов, сообщили эксперты по кибербезопасности из компании Pradeo Security Systems.

Как заявили исследователи, данное поведение зафиксировано в 3 приложениях: Sonic the Hedgehog Classic, Sonic Dash 2: Sonic Boom и Sonic Dash. Все игры распространяются через официальный магазин Google Play.

Все 3 приложения отправляют на серверы информацию о геолокации, мобильной сети, поставщиках услуг, типах сетей, а также о версии ОС, модели и производителе устройства.

По словам исследователей, в двух приложениях используется сторонняя библиотека Android/Inmobi.D. Данная библиотека доступна через многие открытые репозитории. Код используется для маркетинговых целей и создает обратный канал для рекламодателей, позволяя им проводить мониторинг рекламных кампаний, собирать отчеты о сбоях и анализировать программное обеспечение. В общей сложности, каждое из приложений подключается к примерно 11 серверам для передачи информации, три из которых не сертифицированы.

Подобные ненадежные серверы позволяют злоумышленникам собрать информацию о наиболее привлекательных жертвах, а затем атаковать их с помощью созданного специально под них вредоносного ПО, отметили специалисты.

Помимо этого, исследователи заявили, что каждое из приложений содержит по меньшей мере 15 уязвимостей.

«Среди уязвимостей, обнаруженных в анализируемых приложениях, мы выделили две наиболее опасные. Данные уязвимости (X.509TrustManager и PotentiallyByPassSslConnection) позволяют осуществить атаку типа «человек посередине». Другие уязвимости могут привести к отказу в обслуживании (DoS), утечке данных и пр.», - следует из отчета.

Издатель игр, японская компания Sega Games, заявила, что уже изучает данную проблему.

«Sega усердно работает над решением любых технических проблем, ставящих под угрозу данные клиентов. Если какие-либо сторонние партнеры собирают, передают или используют данные способом, который не разрешен нашим соглашением с третьей стороной или не соответствует политике конфиденциальности мобильной связи Sega, будут предприняты быстрые корректирующие действия», — заявили представители Sega изданию ZDNet.


Другие новости

16 ноября

Федеральная налоговая служба сообщила, когда предприниматели на ЕНВД смогут использовать новую форму налоговой декларации для оформления вычета за покупку кассовой техники.

23 октября

Нарушители будут привлекаться к дисциплинарной ответственности, а контрактники — досрочно уволены.

23 октября

Лига безопасного интернета предложила ввести ответственность для соцсетей и поисковиков за запрещенный контент.

23 октября

В некоторых случаях затраты на мобильный интернет достигают $385.