La firma de seguridad Pradeo ha descubierto que tres de las aplicaciones Android de Sega protagonizadas por el popular personaje Sonic se entrometen en la privacidad del usuario y podrían dar lugar a ataques de intermediario (man-in-the-middle).

Según dicha firma, Sonic Dash, Sonic Dash 2 y Sonic the Hedgehog Classic, que ya han sido descargadas por millones de usuarios, acceden a la geolocalización y a datos del dispositivo, y los filtran. Envían dichos datos a unos 11 servidores distantes, tres de ellos sin certificar.

Pradeo explica en su blog que “hemos observado que la mayoría de los servidores distantes a los que apuntan las aplicaciones de Sega afectadas tienen funciones de monitorización y márketing. Sin embargo, lo que ha llamado la atención de los investigadores de Pradeo es que dichas aplicaciones envían información a tres servidores sin certificar. Dos de ellos suponen una amenaza potencial.”

La firma añade que “otras vulnerabilidades afectadas pueden provocar la denegación de servicio y la filtración de datos sensibles, y poner al descubierto las debilidades del cifrado”.