Uma falha de segurança agora corrigida foi divulgada no aplicativo Galaxy Store para dispositivos Samsung que poderia desencadear a execução de comandos remotos nos telefones afetados.
A vulnerabilidade, que afeta o Galaxy Store versão 4.5.32.4, está relacionada a um bug de cross-site scripting (XSS) que ocorre ao lidar com determinados links diretos . Um pesquisador de segurança independente foi creditado por relatar o problema.
“Aqui, ao não verificar o deep link com segurança, quando um usuário acessa um link de um site que contém o deeplink, o invasor pode executar o código JS no contexto de visualização da Web do aplicativo Galaxy Store”, disse o SSD Secure Disclosure em um comunicado publicado no último semana.
O problema identificado no aplicativo Galaxy Store tem a ver com a forma como os links profundos são configurados para o Marketing & Content Service ( MCS ) da Samsung, levando potencialmente a um cenário em que um código arbitrário injetado no site MCS pode levar à sua execução.
Isso pode ser aproveitado para baixar e instalar aplicativos com malware no dispositivo Samsung ao visitar o link.
“Para poder explorar com sucesso o servidor da vítima, é necessário ter HTTPS e CORS para contornar o cromo”, observaram os pesquisadores.
6 thoughts on “Bug da Samsung Galaxy Store pode permitir que hackers instalem aplicativos secretamente em dispositivos de destino.”
Comments are closed.