Falhas de segurança

3 aplicativos do Sonic na Google Play estão vazando dados para servidores não certificados

3 aplicativos do Sonic na Google Play estão vazando dados para servidores não certificados

De acordo com um pesquisador da empresa de segurança Pradeo 3 aplicativos do Sonic no Google Play publicados pela SEGA enviam dados do usuário para servidores não certificados.

Os aplicativos Android são Sonic Dash, Sonic Hedgehog ™ Classic e Sonic Dash 2: Sonic Boom que foram baixados milhares de vezes.

O especialista descobriu que os aplicativos estão vazando dados de usuários e os dados do dispositivo para servidores suspeitos o que representa uma ameaça à privacidade para os jogadores móveis de acordo com os pesquisadores.

“A Pradeo’s Lab descobriu que alguns aplicativos de jogos na Google Play publicadas pela SEGA, o famoso desenvolvedor e editor de videogames, acessam e vazam dados de localização e dados de usuários. Centenas de milhões de usuários estão preocupados com essas violações de privacidade de dados”, afirma a publicação do blog da Pradeo.

 

Os aplicativos do Sonic enviam dados para uma média de 11 servidores distantes 3 dos quais não são certificados. A maioria dos servidores obviamente coleta dados para fins de marketing mas o especialista obsevou que dois dos 3 servidores não certificados estão vinculados a um potencial aplicativo de indesejável denominado Android / Inmobi.D.

A biblioteca Android.InMobi é classificada como uma biblioteca de anúncios que está enpacotada em determinados aplicativos do Android.

O especialista descobriu que os aplicativos do Sonic também vazam informações da rede móvel, incluindo o nome de provedor de serviço, o tipo de rede e as informações do dispositivo ( ou seja, o fabricante, o nome comercial, o nível de bateria, o nível máximo da bateria e o número da versão do sistema operacional ).

Os pesquisadores da Pradeo também realizaram uma avaliação de vulnerabilidade para as 3 aplicações Sonic e descobriram uma média de 15 falhas da OWASP (Open Web Application Security Project) .

Os especialistas descobriram duas falhas crítica, X.509TrustManager e PotentiallyByPassSslConnection, que poderiam ser exploradas por hackers para impulsionar ataques man-in-the-middle devido à falta de validação de erros de certificados SSL.

“Implementação insegura da Interface X.509TrustManager. Especificamente a implementação ignora todos os erros de validação de certificados SSl ao estabelecer uma conexão HTTPS para um host remoto tornando o seu aplicativo vulnerável a ataques man-in-the-middle.

Um invasor pode ler dados transmitidos ( como credenciais de login ) e até mesmo alterrar os dados transmitidos na conexão HTTPS”, ressaltam eles na explicação sobre a falha do X.509TrustManager.

Já o POTENTIALLY_BYPASS SSL_CONNECTION :

“A Implementação ignora todos os erros de validação de certificados SSL ao estabelecer uma conexão com um host remoto, tornando a sua aplicação vulnerável a ataques man-in-the-middle. Um invasor pode ler dados transmitidos ( como credenciais de login) e até mesmo alterar os dados transmitidos na conexão HTTPS”.

O artigo dos caras é bem completo e merece ser lido. O link está aqui e é uma boa fonte de informação para quem é mais interessado na área.

Via Security Affairs

comments powered by Disqus