趨勢科技發現一個會影響版本1.1.1以下的Spotify Android應用程式中的漏洞。一旦被利用,該漏洞可以讓壞人控制顯示在應用程式介面的內容。該漏洞可能被網路犯罪份子用來發動釣魚攻擊而導致資料遺失或被竊。
Spotify快速地回應了趨勢科技的發現,修復了其在1.1.1版本應用程式的漏洞。我們建議使用者確保自己所使用的是最新版本的Spotify
受影響的活動
該漏洞影響一特定活動(com.spotify.mobile.android.ui.activity.TosTextActivity),其被設計來取得和顯示Spotify網頁在應用程式上。該漏洞導致這些輸出網頁的內容可以被安裝在手機上的其他應用程式看到。此外,該漏洞可以讓其他應用程式、程序或執行緒在無須額外權限下觸發活動。
使用一個惡意應用程式,攻擊者可以利用此一活動來改變該應用程式呈現給使用者的內容。例如,在Spotify應用程式上顯示Google首頁。更加惡意的網頁也可以在應用程式內出現。
圖1、官方 Spotify應用程式顯示 Google首頁
圖2、「惡意」網頁可以經由此應用程式顯示
需要注意的是,惡意應用程式可以觸發和「最小化」該活動。如果使用者試圖利用「Back」按鈕來停止Spotify應用程式,該惡意內容會顯示在螢幕上。對於該應用程式不是那麼熟悉的使用者可能會會將此動作視為應用程式的正常行為。
由於可能的攻擊並不需要額外權限,使用者可能不會意識到此情況下所產生的任何可疑活動。不需額外權限也意味著防毒解決方案和威脅研究人員可能會難以偵測和分析惡意活動。
可能的釣魚攻擊
攻擊者可能會利用此一漏洞來建立網路釣魚(Phishing)頁面要求敏感資料,像是使用者名稱、密碼、聯絡人細節甚至是支付資料。後者是很合理的懷疑,因為Spotify提供免費和付費服務。一個精心製作的釣魚網頁可能會導致使用者認為請求財務資料是正常的程序或行為之一。網路釣魚網頁往往只是其他攻擊的第一步。被盜的資料可能被用來進行其他攻擊,像是身份竊盜、詐騙甚至是APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)/目標攻擊。
網路犯罪分子也可能會建立將使用者導到其他威脅的網頁,像是惡意軟體。由於該漏洞存在於官方應用程式中,和假Spotify應用程式相比,使用者將更容易相信所顯示的惡意網頁。這些場景和我們之前在部落格中所討論過的「Android應用程式元件容易被濫用」類似。
Spotify已經修復其Android應用程式版本1.1.1的此漏洞。我們建議Spotify使用者升級到該版本或下載最新版本來保護自己免於此問題,或存取Google Play商店來自動獲取最新更新。在發布本文時,最新版本是1.1.2。
在撰寫本文時,我們尚未看到有利用此漏洞的攻擊出現。
@原文出處:Vulnerability in Spotify Android App May Lead to Phishing作者:Simon Huang(行動安全工程師)
