- 13,858
- 20
- 8 Ноя 2022
Неприятные уязвимости были обнаружены в магазине приложений южнокорейского бренда.
В приложении Samsung Galaxy Store для Android были обнаружены две уязвимости, которые могут быть использованы злоумышленниками для скрытой установки приложений или направления потенциальных жертв на мошеннические целевые страницы в Интернете.
Уязвимости под идентификаторами CVE-2023-21433 и CVE-2023-21434 были обнаружены Для просмотра ссылки Войди
Первая из двух уязвимостей, CVE-2023-21433, может позволить уже установленному мошенническому приложению Android на устройстве Samsung установить любое другое приложение, доступное в магазине Galaxy Store. Samsung описал это как «случай ненадлежащего контроля доступа», который, по её словам, был исправлен с соответствующими разрешениями для предотвращения несанкционированного доступа. Уязвимость затрагивает только устройства Samsung, работающие под управлением Android 12 и более ранних версий, и не влияет на устройства с последней версией (Android 13).
Вторая уязвимость, CVE-2023-21434, связана со случаем неправильной проверки ввода. Она возникает при ограничении списка доменов, которые могут быть запущены в веб-представлении из приложения. «Переход по вредоносной гиперссылке из Google Chrome или предустановленного мошеннического приложения на устройстве Samsung может обойти фильтр URL-адресов Samsung и запустить веб-просмотр домена, контролируемого злоумышленниками», — заявил Кен Гэннон, исследователь NCC Group.
Samsung Galaxy Store, ранее известный как Samsung Apps и Galaxy Apps, представляет собой специализированный магазин приложений, используемый для устройств Android производства Samsung. Он был запущен в сентябре 2009 года.
- Источник новости
- www.securitylab.ru
