El experto menciona que la falla existe debido a que un deeplink exportado que carga sitios web en un navegador integrado en Shazam no valida sus parámetros correctamente, lo que podría desencadenar en el compromiso de la aplicación.

Los hacker maliciosos explotan la falla enviando un URL malisioso que es abierto por Shazam cuando el ususario objetivo da clic en el enlace. Posteriormente, Shazam abre WebView, su navegador integrado, y ejecuta la carga útil, lo que derica en el envío de los datos de ubicacion del dispositvo a un servidor controlado por los atacantes.

La vulnerabilidad fue corregida después de que Apple adquiriera la app, aunque se menciona que la compañía no consideró que este reporte cumpliera con los requisitos establecidos en su programa de recompensas, por lo que el investigador no fue compensado.

Al llevar su reporte a Google, el investigador recibió una respuesta similar por parte de Google: "Google no considera la filtración de datos de ubicación como un riesgo de seguridad grave", menciono el experto. No obstante, la compañía mencionó a través de Play Store que los usuarios podrían ver sus datos de ubicación expuestos si no usaban la versión más reciente de Shazam.


Para conocer más sobre la vulnerabilidad de Shazam ingrese al portal de Noticias de Seguridad Informática:
https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-shazam-expone-los-datos-de-ubicacion-de-mas-de-100-millones-de-usuarios/