Tres videojuegos oficiales de la saga Sonic para dispositivos móviles Android, desarrollados por el estudio japonés SEGA, presentan varias vulnerabilidades que pueden dar lugar a la filtración de datos confidenciales.

Las tres aplicaciones afectadas por la vulnerabilidad son Sonic Dash (con más de cien millones de descargas en la plataforma Google Play), Sonic the Hedgehog Classic y Sonic Dash 2: Sonic Boom, ambas con más de diez millones de descargas. Todas ellas se encuentran disponibles en Google Play y son gratuitas.

El análisis de los videojuegos de SEGA ha revelado que todos ellos geolocalizan la posición de los jugadores a través del GPS de los dispositivos móviles. Las aplicaciones envían la ubicación y otros datos sobre el dispositivo, como el modelo de teléfono, el sistema operativo o la conexión de datos que utiliza, a servidores externos, según ha explicado en su blog la empresa de ciberseguridad Pradeo.

Los juegos envían la información a 11 servidores remotos con "fines de seguimiento y márketing", según señalan desde Pradeo. De estos servidores, tres, además, son identificados como no certificados por parte de la compañía de ciberseguridad, que asegura que "representan una potencial amenaza".

Las tres aplicaciones cuentan también con otras vulnerabilidades críticas ante ataques de intermediario, que permitirían interceptar los mensajes enviados entre la aplicación y el servidor, y ante ataques de denegación de servicio (DDoS) o robos de datos sensibles.