Versões do Spotify para Android têm brecha de segurança

Invasores conseguem controlar o que é exibido na interface do aplicativo, podendo inserir ali páginas falsas e lançar ataques de phishing para roubar dados

São Paulo – Uma análise feita pela empresa de segurança Trend Micro revelou que versões anteriores à 1.1.1 do Spotify para Android apresentam uma brecha bem preocupante.

Por ela, eventuais invasores conseguem controlar o que é exibido na interface do aplicativo, podendo inserir ali páginas falsas e lançar ataques de phishing para roubar dados.

A vulnerabilidade, segundo o relato no blog da Trend, está em um recurso usado normalmente para exibir páginas do próprio Spotify sobre o aplicativo.

Os dados dos sites são “exportados para se tornarem visíveis a outros programas instalados no telefone”, mas a falha faz com que outros apps ou processos também consigam ativar a função – e é aí que mora o problema.

Com a ajuda de algum software malicioso que o usuário por acaso instalar no smartphone, o cracker pode aproveitar a brecha e começar a controlar o que o Spotify mostra.

Nos testes, a Trend conseguiu inserir na tela do app a home Google, mas um cibercriminoso pode muito bem fazer o programa exibir uma página falsa do serviço, pedindo por dados do cliente.

E não é difícil para alguém cair no golpe. Visto que o aplicativo tem uma versão premium e que a solicitação por dados viria de dentro do próprio programa, um usuário poderia muito bem inserir na tela suas informações e número de cartão de crédito, acreditando ser aquilo um processo de renovação de assinatura ou checagem de cadastro, por exemplo.

Mas evitar ter as informações roubadas também não é difícil.

No caso dessa falha no Spotify, especificamente, basta seguir o conselho da empresa e atualizar o app, já que ela não aparece nas versões atuais.

Também vale desconfiar de quaisquer pedidos por dados sensíveis, como documentos e número de cartão – e isso é algo que ajuda a fugir do phishing de forma geral.