下載量過億的三款索尼克系列遊戲應用被指泄露用戶敏感數據

「用指尖改變世界」

還記得那一身藍色的刺蝟索尼克(Sonic)嗎?它是由日本電子遊戲公司世嘉(SEGA)推出的經典遊戲和漫畫人物，其創作人是中裕司。它可以說是世界上最具知名度的刺蝟，從推出以來就深受全世界無數玩家的喜愛。

索尼克毫無意外地成為了世嘉公司的形象代言，以索尼克為主人公的電子遊戲曾在多個平台發布。今天我們談到的三款索尼克系列遊戲應用便來自Google Play應用商店，針對了Android智能設備用戶。

在前兩周，來自安全公司Predeo的研究人員發現，Google Play應用商店中三款由世嘉公司開發的索尼克系列遊戲應用能夠訪問以及泄露用戶的地理位置和設備數據，數以億計的用戶可能因此受到影響。

這三款遊戲應用分別是：Sonic Dash(下載量1億到5億)、Sonic the Hedgehog? Classic(下載量1000萬到5000萬)和Sonic Dash 2: Sonic Boom(下載量1000萬到5000萬)。

研究人員解釋說，這三款應用訪問並泄露了它們實際上並不需要的數據，這包括：用戶的地理位置、設備數據(即設備製造商、設備商業名稱、電池最大容量、電池電量以及操作系統版本號)以及移動網路信息(即服務提供商名稱和網路類型，如3G、4G、UMTS等)。

數據會被發送到11個遠程伺服器，其中3個甚至未經認證。

Predeo的研究人員還對這3款應用進行了漏洞評估，發現它們平均具有15個OWASP(Open Web Application Security Project)漏洞。

漏洞可能導致拒絕服務、敏感數據泄露，其中兩個關鍵漏洞(X.509TrustManager和POTENTIALLY_BYPASS_SSL_CONNECTION)由於缺乏對SSL證書錯誤的驗證，使得用戶設備極其容易受到中間人攻擊(MITM)，允許攻擊者可以讀取傳輸的數據(如登錄憑證)，甚至可以更改在HTTPS連接上傳輸的數據。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！