Spotify ist vermutlich der auch in Deutschland der bekannteste Vertreter der Musikstreaming-Dienste mit Millionen von Songs, die auf zahlreichen verschiedenen Geräten angehört werden können. Die weltweite Beliebtheit von Spotify macht eine Sicherheitslücke in der Version 1.1.1 der Android-App so gefährlich. Je mehr lohnt es sich für Kriminelle, die Lücke auszunutzen. Das ist ein generelles Problem weit verbreiteter Software.
Die Sicherheitsexperten von Trend Micro empfiehlt allen Spotify-Usern, die den Streaming-Dienst auf einem Endgerät mit dem Betriebssystem Android verwenden, sofort aus Google Play heraus ein Update durchzuführen. In der aktualisierten Version gibt es diese Lücke nicht mehr.
In einer Presseinfo von Trend Micro lesen wir dazu:
>>Trend Micro warnt Besitzer von Android-Geräten vor einer Sicherheitslücke in der Version 1.1.1 und älter der beliebten Musik-Streaming-App Spotify. Durch die Lücke können Cyberkriminelle die Anzeige auf den Geräten manipulieren. Insbesondere Phishing-Angriffe werden dadurch möglich, indem manipulierte Anzeigen persönliche Informationen abfragen und an die Online-Gangster schicken. Das Gefährliche daran: Die Manipulation ist sowohl für die Anwender als auch für installierte Sicherheitslösungen kaum zu entdecken. Spotify hat die Lücke mittlerweile geschlossen. Anwender sollten daher schnellstmöglich auf die neueste Version aktualisieren.
Angriffe über die genannte Lücke sind aus mehreren Gründen schwer zu entdecken: Zum einen bietet Spotify sowohl kostenlose als auch kostenpflichtige Dienste, weshalb Anwender Gefahr laufen, ihre persönlichen Informationen preiszugeben, weil sie hinter den angezeigten Seiten keine Phishing-Versuche wittern. Zum anderen aber müssen die Online-Gangster für ihre Betrügereien keine zusätzlichen Berechtigungen einfordern. Das macht es für Sicherheitslösungen schwierig, die Attacken aufzuspüren. Schließlich besteht die Lücke in einer legitimen App, nicht in einer gefälschten Version davon.<<
Wer mehr wissen möchte, kann sich im deutschen Trend Micro-Blog informieren.