Uno specialista della sicurezza britannico ha riferito di aver trovato una vulnerabilità critica in Shazam, la popolare app di riconoscimento musicale, che consentirebbe agli autori delle minacce di estrarre i dati sulla posizione di un utente inviando un URL dannoso. Il difetto sta nell’app per iOS e Android.
Come forse ricorderai, questa applicazione è in grado di identificare il nome di canzoni, film e programmi TV utilizzando un piccolo campione audio catturato dal microfono del dispositivo grazie alla tecnologia “deeplink”. L’esperto afferma che il difetto esiste perché un deeplink esportato che carica i siti Web in un browser integrato con Shazam non convalida correttamente i suoi parametri, il che potrebbe innescarsi nell’engagement dell’applicazione.
Gli hacker dannosi potrebbero sfruttare il difetto inviando un URL dannoso che verrà aperto da Shazam quando l’utente di destinazione fa clic sul collegamento ricevuto. Shazam aprirà quindi WebView, il suo browser integrato, ed eseguirà il payload, inviando i dati sulla posizione del dispositivo a un server controllato da un utente malintenzionato.
Al momento della patch, il difetto potrebbe aver colpito gli oltre 100 milioni di utenti di Shazam. La vulnerabilità è stata risolta dopo che Apple ha acquisito l’app, anche se è stato detto che la società non ha ritenuto che questo rapporto soddisfacesse i requisiti stabiliti nel suo programma di bug bounty, quindi il ricercatore non è stato compensato.
Portando il suo rapporto a Google, il ricercatore ha ricevuto una risposta simile: “Google non considera la fuga di dati sulla posizione un serio rischio per la sicurezza“, ha detto l’esperto. Tuttavia, la società ha menzionato attraverso il Play Store che gli utenti potevano vedere i propri dati sulla posizione esposti se non utilizzavano l’ultima versione di Shazam.