趨勢科技發現一個會影響版本1.1.1以下的Spotify Android應用程式中的漏洞。一旦被利用,該漏洞可以讓壞人控制顯示在應用程式介面的內容。該漏洞可能被網路犯罪份子用來發動釣魚攻擊而導致資料遺失或被竊。
Spotify快速地回應了趨勢科技的發現,修復了其在1.1.1版本應用程式的漏洞。我們建議使用者確保自己所使用的是最新版本的Spotify
受影響的活動
該漏洞影響一特定活動(com.spotify.mobile.android.ui.activity.TosTextActivity),其被設計來取得和顯示Spotify網頁在應用程式上。該漏洞導致這些輸出網頁的內容可以被安裝在手機上的其他應用程式看到。此外,該漏洞可以讓其他應用程式、程序或執行緒在無須額外權限下觸發活動。
使用一個惡意應用程式,攻擊者可以利用此一活動來改變該應用程式呈現給使用者的內容。例如,在Spotify應用程式上顯示Google首頁。更加惡意的網頁也可以在應用程式內出現。
圖1、官方 Spotify應用程式顯示 Google首頁