App popular Sonic (e outros) para Android apresentam riscos de vazamento de dados

Três jogos de Sonic the Hedgehog para Android, baixados mais de 100 milhões de vezes, correm o risco de vazamento de dados e geolocalização dos usuários, além de outros dados dos dispositivos pessoais para servidores suspeitos, colocando os usuários em risco de ataques man-in-the-middle e vulnerabilidades de segurança do tipo semelhantes, de acordo com especialistas em segurança.

Os jogos incluem Sonic the Hedgehog Classic, Sonic Dash 2: Sonic Boom e Sonic Dash, cada um distribuído através do Google Play Store, de acordo com os pesquisadores da Pradeo Security Systems que fizeram a descoberta na semana passada.

Na quinta-feira, pesquisadores da empresa relataram que cada um dos apps Sonic, publicados pela Sega Games, vazaram informações de geolocalização, incluindo informações da rede móvel, nomes dos provedores de serviços, tipos de rede, números de versão do sistema operacional e o modelo e fabricante do dispositivo.

De acordo com Vivien Raoul, CTO e co-fundador da Pradeo Security Systems, dois dos aplicativos com vazamentos estão ligados a uma biblioteca de terceiros utilizada no desenvolvimento dos jogos pela Sega. A biblioteca em questão é a Android/Inmobi.D e está disponível através de muitos repositórios de código público. De acordo com Raoul, o código é usado para fins de marketing e cria um back-channel para anunciantes monitorarem campanhas publicitárias, realizar relatórios de falhas e análise de software. Em geral, cada um dos aplicativos se conecta a aproximadamente 11 servidores para retransmitir as informações, com três servidores não certificados.

Raoul disse que os servidores inseguros variam daqueles que não usam Hypertext Transfer Protocol Secure (HTTPS) para proteger os dados em trânsito. Em outra instância, os servidores suportam HTTPS, mas os certificados são assinados por autoridades de certificados não confiáveis. Por fim, ele disse que os servidores não confiáveis também incluíam aqueles que foram incluídos em uma blacklist por profissionais de segurança por terem estreitos laços com distribuição de malware, ataques de phishing ou são controlados por atores maliciosos.

“É uma bomba relógio,” disse Raoul ao Threatpost. Disse ainda que os servidores não verificados são um terreno fértil para que os atacantes coletem o tipo de reconhecimento necessário para identificar alvos suculentos e atacá-los com façanhas feitas sob medida.

A Sega America não retornou os inúmeros pedidos do Threatpost para comentários.

“O uso da biblioteca deficiente Android/Inmobi.D não é exclusivo. Existem milhares de aplicativos Android usando uma variante do Android/Inmobi.D”, disse Raoul.

Os pesquisadores disseram que cada um dos aplicativos da Sega continha 15 falhas no Open Web Application Security Project (OWASP).

“Entre as vulnerabilidades detectadas nos aplicativos analisados da Sega, identificamos dois críticos que os tornam altamente vulneráveis a ataques Man-In-The-Middle (X.509TrustManager e PotentiallyByPassSslConnection). As outras vulnerabilidades OWASP detectadas podem resultar em negação de serviço, vazamento de dados sensíveis e mostrar claramente fraquezas de criptografia”, de acordo com o relatório.

Raoul disse que os pesquisadores da Pradeo trabalharam com um terceiro para entrar em contato com a Sega diretamente sobre as vulnerabilidades. Não está claro quanto a resposta da Sega diante dos achados da pesquisa.

Outros apps não estão isentos desta falha

“Nossa pesquisa vai além do Sonic. Encontramos muitos aplicativos bastante populares em lojas oficiais que podem conter o código problemático (Android/Inmobi.D) e colocar os usuários em risco. Esses jogos ressaltam a necessidade dos desenvolvedores examinarem cuidadosamente as bibliotecas usadas a partir de repositórios de código público”, disse Raoul.

Ele acrescentou que os desenvolvedores de aplicativos também devem considerar cuidadosamente os tipos de dados coletados dos usuários, dado o risco de que algum desses dados coletados possam ser vazados acidentalmente.


Publicado originalmente no ThreatPost em 22 de janeiro de 2018.

Este conteúdo foi republicado com permissão. ThreatPost não é afiliado com este site.

Autor: Tom Spring
Tradução por Tiago Souza

Deixe o seu comentário:

Seu endereço de e-mail não será publicado.

Rodapé do Site