Un estudio llevado a cabo por el laboratorio de seguridad Pradeo habría puesto en jaque a tres juegos de Sonic para Android. Al parecer, Sega estaría recopilando diferentes datos de usuario como la ubicación y enviándolos a once servidores externos. Dos de ellos han sido relacionados con Android Inmobi.D, una librería presente en muchas aplicaciones y de la que estaría detrás una misteriosa empresa publicitaria.
Los tres juegos están disponibles en la Google Play Store y han sido descargados por millones de usuarios. De hecho, se dice que las fugas podrían estar afectando colectivamente a entre 120 y 600 millones de personas. Concretamente, se trata de Sonic Dash, lanzado en 2013 con un gran éxito. Sonic Dash 2: Sonic Boom, la secuela y Sonic the Hedgehog Classic, una versión sin coste con la que la compañía quería conmemorar el 25 aniversario del juego.
Sonic en el punto de mira
La misma empresa de seguridad ha confirmado que los tres juegos de Sega para Android cuentan con una media de 15 vulnerabilidad OWASP (Open Web Application Security Project). Dos de ellas, para ser exactos, son bastante críticas, ya que permiten realizar ataques «Man in the Middle». De este modo, el atacante adquiere la capacidad de leer, insertar y modificar a voluntad cualquier tipo de dato.
Los juegos no solo habrían filtrado los datos de localización, también nivel de la batería, versión del sistema, fabricante del dispositivo o nombres de red. Toda la información es muy valiosa para los anunciantes. Y aunque no se trate de datos sensibles que afecten a la seguridad del usuario como tal, si que hace uso de una información sobre la que nosotros no hemos dado permisos.
Desde Sega se han pronunciado y afirman estar trabajando rápidamente para solucionar cualquier problema técnico que pueda comprometer a los datos de sus clientes. Como han informado, en caso de que lleguen a descubrir que se está recopilando información valiosa que no esté aceptada en su política de privacidad móvil, tomarán las medidas oportunas de manera inmediata.
