Uma análise feita pela empresa de segurança Trend Micro revelou que versões anteriores à 1.1.1 do Spotify para Android apresentam uma brecha bem preocupante. Por ela, eventuais invasores conseguem controlar o que é exibido na interface do aplicativo, podendo inserir ali páginas falsas e lançar ataques de phishing para roubar dados.
A vulnerabilidade, segundo o relato no blog da Trend, está em um recurso usado normalmente para exibir páginas do próprio Spotify sobre o aplicativo. Os dados dos sites são “exportados para se tornarem visíveis a outros programas instalados no telefone”, mas a falha faz com que outros apps ou processos também consigam ativar a função – e é aí que mora o problema.
Com a ajuda de algum software malicioso que o usuário por acaso instalar no smartphone, o cracker pode aproveitar a brecha e começar a controlar o que o Spotify mostra. Nos testes, a Trend conseguiu inserir na tela do app a home Google, mas um cibercriminoso pode muito bem fazer o programa exibir uma página falsa do serviço, pedindo por dados do cliente.
E não é difícil para alguém cair no golpe. Visto que o aplicativo tem uma versão premium e que a solicitação por dados viria de dentro do próprio programa, um usuário poderia muito bem inserir na tela suas informações e número de cartão de crédito, acreditando ser aquilo um processo de renovação de assinatura ou checagem de cadastro, por exemplo.
Mas evitar ter as informações roubadas também não é difícil. No caso dessa falha no Spotify, especificamente, basta seguir o conselho da empresa e atualizar o app, já que ela não aparece nas versões atuais. Também vale desconfiar de quaisquer pedidos por dados sensíveis, como documentos e número de cartão – e isso é algo que ajuda a fugir do phishing de forma geral.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário