Spotify新增「訊息」功能 專家警告恐成資安攻擊新管道
記者孫敬/編譯
串流音樂巨頭Spotify於26日正式在部分市場16歲以上的所有免費與付費用戶,推出全新「訊息」(Messages)功能,使用者在App能直接分享歌曲、Podcast與有聲書,大幅強化口耳相傳的內容推薦。
延伸閱讀:全面實施「實名制」!Google要求所有Android開發者驗證身份 嚴打惡意軟體
Spotify深化使用者們彼此互動,亦保障個資安全
未來Spotify用戶只需在「正在播放」畫面點擊分享圖示、選擇聯絡人,就能傳送內容並搭配文字與表情符號,對話將儲存在個人檔案選單中,Spotify也會根據使用者過去的互動(如協作播放清單、Jam 派對或家庭/雙人方案),推薦可能的聊天對象。
在技術層面上,訊息功能採用了HTTPS(TLS 1.3上的RESTful API,並以JSON Web Token(JWT)進行身份驗證,確保資料在傳輸與儲存時都符合業界標準的加密規範。此外,Spotify也會根據服務條款,主動掃描不法或有害內容,用戶可以選擇接受或拒絕訊息邀請、封鎖特定發送者,甚至能直接從「設定」中關閉此功能。
資安風險如影隨形,Spotify新功能恐成攻擊跳板
雖然帶來了便利性,但資安研究人員也警告,任何即時通訊系統若未嚴密把關,都可能引入新的資安威脅。專家們點出幾個關鍵風險:
- 跨站腳本攻擊(XSS):若Spotify的用戶端未能妥善清理訊息欄位,攻擊者可能會植入惡意JavaScript代碼,當收件人點擊時惡意代碼就會被執行。
- 跨站請求偽造(CSRF):攻擊者可能冒充受害者,向聯絡人發送垃圾訊息或釣魚連結。
- OAuth 權限濫用:惡意網站可能誘騙用戶授權,藉此竊取存取憑證。
- 惡意深層連結:攻擊者可能利用看似正常的Spotify連結,將用戶重新導向至惡意網站,或觸發非預期的App行為。
為了應對這些風險,Spotify必須實施嚴格的輸入驗證、強化網站的安全性設定,並在偵測到可疑活動時即時輪換權杖。隨著「訊息」功能在全球逐步推廣,Spotify與其廣大用戶都需要在社交分享的便利性與嚴格的資安防護之間取得平衡,才能確保此功能能持續成為內容探索的助力,而非資安攻擊的破口。
資料來源:Cyber Security News
