还记得那一身蓝色的刺猬索尼克(Sonic)吗?它是由日本电子游戏公司世嘉(SEGA)推出的经典游戏和漫画人物,其创作人是中裕司。它可以说是世界上最具知名度的刺猬,从推出以来就深受全世界无数玩家的喜爱。
索尼克毫无意外地成为了世嘉公司的形象代言,以索尼克为主人公的电子游戏曾在多个平台发布。今天我们谈到的三款索尼克系列游戏应用便来自Google Play应用商店,针对了Android智能设备用户。
在前两周,来自安全公司Predeo的研究人员发现,Google Play应用商店中三款由世嘉公司开发的索尼克系列游戏应用能够访问以及泄露用户的地理位置和设备数据,数以亿计的用户可能因此受到影响。
这三款游戏应用分别是:Sonic Dash(下载量1亿到5亿)、Sonic the Hedgehog™ Classic(下载量1000万到5000万)和Sonic Dash 2: Sonic Boom(下载量1000万到5000万)。
研究人员解释说,这三款应用访问并泄露了它们实际上并不需要的数据,这包括:用户的地理位置、设备数据(即设备制造商、设备商业名称、电池最大容量、电池电量以及操作系统版本号)以及移动网络信息(即服务提供商名称和网络类型,如3G、4G、UMTS等)。
数据会被发送到11个远程服务器,其中3个甚至未经认证。
Predeo的研究人员还对这3款应用进行了漏洞评估,发现它们平均具有15个OWASP发现平均有15个OWASP(Open Web Application Security Project)漏洞。
漏洞可能导致拒绝服务、敏感数据泄露,其中两个关键漏洞(X.509TrustManager和POTENTIALLY_BYPASS_SSL_CONNECTION)由于缺乏对SSL证书错误的验证,使得用户设备极其容易受到中间人攻击(MITM),允许攻击者可以读取传输的数据(如登录凭证),甚至可以更改在HTTPS连接上传输的数据。
来源:黑客视界
