Pradeo Labは2018年1月18日(米国時間)、「Official Sonic Apps Leak Data to Unverified Servers」において、SEGAがGoogle Playで公開しているいくつかのゲームアプリがユーザーの位置情報およびデバイスデータにアクセスし、それらデータを外部のサーバに送信していると指摘した。数百万のユーザーがデータ漏洩の影響を受けた可能性があるとしている。
影響があると見られるAndroidアプリは次のとおり。
- Sonic Dash (1億〜5億ダウンロード)
- Sonic the Hedgehog Classic (1000万〜5000万ダウンロード)
- Sonic Dash 2: Sonic Boom (1000万〜5000万ダウンロード)
-
資料: Pradeo
Pradeo Labではこれら3つのアプリを分析した結果、次の共通点を発見したと指摘している。
- ユーザーの現在地を特定し、その位置情報を送信
- デバイスデータを窃取
- 認証されていない3台のサーバを含む平均11台のサーバにデータを送信
- 平均で15個のOWASP脆弱性が存在(中間者攻撃、DoS攻撃、機密データ窃取などの危険性あり)
これらアプリはトラッキングおよびマーケティングの目的で取得したデータを送信していたと見られるが、送信されているサーバのうち3台は認証されていないサーバで、潜在的に脅威である危険性があるという。
Pradeo Labは、Google Playで配布されている公式のアプリであっても、そのアプリには必要とされていないデータにアクセスして取得するものが増えていると説明。ユーザーは一度Google Playからアプリをダウンロードすると、それ以降に求められるアクセスパーミッションに関してはあまり考えずに許可する傾向が見られるという。Pradeo Labはこうしたユーザーの操作が、アプリにおける不要なデータアクセスを許すことににつながっていると指摘している。
