Vulnerabilidade afeta as versões do Spotify mais antigas que 1.1.1 para Android.

A Trend Micro descobriu uma vulnerabilidade que afeta as versões do Spotify mais antigas que 1.1.1, para Android, que permite que hackers controlem o que está sendo exibido na interface do aplicativo. Esta ferramenta pode ser utilizada por cibercriminosos para lançar ataques de phishing, resultando na perda ou roubo de informações.

A vulnerabilidade afeta uma atividade específica, que é projetada para recuperar e mostrar páginas web Spotify sobre o app. Isso faz com que os conteúdos dessas páginas sejam exportados para se tornarem visíveis para outros programas instalados no telefone. Além disso, o bug pode permitir que outro aplicativo ou processo desencadeie a atividade, sem a necessidade de permissões adicionais.

Usando algum outro app malicioso, um atacante pode explorar essa atividade para alterar o conteúdo que está sendo mostrado para os usuários. Por exemplo, os pesquisadores da Trend Micro foram capazes de mostrar a página inicial do Google no Spotify. Muitas páginas maliciosas também podem ser exibidas dentro do aplicativo.

É possível perceber que a aplicação maliciosa pode comandar a atividade do Spotify à vontade. Se uma pessoa tenta parar o aplicativo usando o botão "Voltar", o conteúdo malicioso irá aparecer na tela, o que pode parecer uma rotina normal para quem não tem muita familiaridade com o app ainda. 

Como esses ataques potenciais não necessitam de permissões adicionais, os usuários podem não estar cientes de qualquer atividade suspeita, o que também pode tornar mais difícil para programas de segurança identificarem algum perigo.

 Os atacantes podem aproveitar essa vulnerabilidade para criar páginas de phishing que solicitam informações confidenciais, como login, senhas, detalhes de contato, e até mesmo informações de pagamento. Este último é especialmente plausível, considerando que o Spotify oferece também serviços pagos. 

A página falsa, bem trabalhada, pode fazer com que o usuário suponha que o pedido de informação financeira é parte de um processo de rotina. Essa página, muitas vezes, é apenas o primeiro passo para outros golpes. As informações roubadas podem ser usadas para outros ataques, como roubo de identidade, fraude, ou até mesmo ataques direcionados.

O Spotify respondeu rapidamente à descoberta, fixando a falha na versão 1.1.1 do app. Os usuários estão sendo avisados para se certificarem de que estão usando a última versão do programa para o Android.