Shazam mette in pericolo gli utenti android e ios
Buongiorno cari lettori, oggi parleremo della vulnerabilità di Shazam ha esposto la posizione degli utenti Android e iOS
La vulnerabilità di Shazam è stata identificata nel 2019, ma i dettagli sono stati rivelati solo la settimana scorsa.
Non riesci a scoprire qual è il nome di quella canzone in televisione? Sai chi ti aiuterà: Shazam. Recentemente, però, è venuta alla luce una vulnerabilità trovata nella popolare app che potrebbe consentire a un attore malintenzionato di conoscere la posizione di una vittima.
La vulnerabilità ha colpito più di 100 milioni di utenti al momento avendo il potenziale per compromettere la sicurezza fisica di questi utenti segnando la sua gravità.
Denominata CVE-2019-8791 e CVE-2019-8792, la vulnerabilità è stata scoperta da un ricercatore britannico di sicurezza IT Ashley King. È degno di nota che il problema è stato trovato anche nel 2018 dove è stato segnalato nel dicembre dello stesso anno alla società.
Tuttavia, a causa del fatto che Shazam è stato acquisito da Apple, ad Ashley è stato chiesto di affrontare il problema con Apple che ha portato la falla ad essere finalmente patchata il 26 marzo 2019, sia su iOS che su Android senza alcuna ricompensa per lui.
Parlando della vulnerabilità, come funzionava era che un attaccante poteva inviare un link dannoso alla vittima designata. Se la vittima lo apriva, questo apriva automaticamente l'app Shazam ed eseguiva il malware con il risultato che i dati sulla posizione della vittima venivano inviati all'attaccante.
Spiegando la tecnicità dietro il tipo di link che potrebbe essere utilizzato, il ricercatore afferma in un post sul blog che:
Shazam utilizza deeplink in tutta l'app come parte della sua navigazione. Ho scoperto che un particolare deeplink esportato (che era responsabile del caricamento di un sito web all'interno di una webview) non convalidava il suo parametro, permettendo a risorse esterne di avere il controllo.
Questa webview includeva alcune interfacce javascript che permettevano al contenuto di comunicare con le API di Android e iOS rendendo possibile estrarre informazioni specifiche del dispositivo e l'ultima posizione precisa conosciuta dell'utente.
Per concludere, secondo Ashley, sia Google Play Security Rewards Program che Apple stessa non hanno visto la vulnerabilità come abbastanza grave al momento, anche se è stata patchata.
Questo ci mostra solo la differenza di priorità che può esserci tra la comunità di cybersecurity e le persone dall'altra parte della barricata che segnano una divisione. In futuro, potremmo vederla continuare a sapere come le aziende vedono la privacy degli utenti.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
