Shazam uygulamasında Android ve iOS kullanıcılarının konumunu açığa çıkarabilecek ciddi bir güvenlik açığı keşfedildi. Neyse ki, Shazam bu hatayı sömürüden önce düzeltti.

İngiliz güvenlik araştırmacısı Ashley King, Shazam uygulamasında ciddi bir güvenlik açığı keşfetti. Bu hatadan yararlanmak, bir saldırganın, kullanıcıların konum verilerini çalmasına olanak sağlayabilir.

Bir blog gönderisindeki ayrıntıları açıklayan araştırmacı, Shazam uygulamasında iki farklı hata bulduğunu ortaya çıkardı . CVE-2019-8791 ve CVE-2019-8792 olarak tanımlanan güvenlik açıkları, hem Android hem de iOS platformları için sıfır tıklama güvenlik açığına bile dönüşebilir. Böcekler, ödül için bir yeterlilik elde etmek için hafife alınmadı.

Bu hatadan yararlanmak için, saldırganın hedef kullanıcıya kötü amaçlı bir bağlantı göndermesi ve Shazam uygulamasını açacak bir bağlantıya tıklaması gerekiyordu. Shazam uygulaması bağlantıyı web görünümü aracılığıyla çalıştırır çalıştırmaz, saldırgan kurbanın konum bilgilerini çalabilir.

Hata Zaten Yamalı

Araştırmacı, bu güvenlik açığını Aralık 2018’de buldu. Ancak, Shazam Apple tarafından satın alındığı için hata yalnızca Mart 2019’a kadar bir yama aldı. Dahası, Apple’ın hata raporunun ödül için uygun olup olmadığına karar vermesi daha fazla ay sürdü. Tüm bu senaryo göz önüne alındığında, araştırmacı hatayı yakın zamanda açıkladı. Bununla birlikte, sorun o zamandan beri ele alındığı için Shazam kullanıcılarının güvenlikleri konusunda endişelenmelerine gerek yok.