可安裝任意應(yīng)用 / 引導(dǎo)至惡意網(wǎng)站，三星 Galaxy Store 曝出兩個(gè)安全漏洞

IT之家 1 月 21 日消息，NCC Group 研究人員發(fā)現(xiàn)三星官方應(yīng)用商城存在兩個(gè) CVE 漏洞。攻擊者可以利用這兩個(gè)漏洞在用戶不知情的情況下安裝任意應(yīng)用程序，或者引導(dǎo)受害者到惡意 Web 地址。

NCC Group 研究人員在 2022 年 11 月 23 日至 12 月 3 日期間發(fā)現(xiàn)了這兩個(gè)漏洞，三星在 Galaxy Store 4.5.49.8 版本中已經(jīng)修復(fù)。NCC Group 的研究人員 Mishaal Rahman 今天披露了這兩個(gè)漏洞。

IT之家了解到，已經(jīng)升級(jí)到安卓 13 / OneUI 5.0 的三星設(shè)備并不受影響，運(yùn)行安卓 12 及更低版本的三星設(shè)備在升級(jí)到新版本之后可以不受影響。

NCC Group 發(fā)現(xiàn) Galaxy App Store 中的一個(gè) webview 包含一個(gè)過(guò)濾器，該過(guò)濾器限制了 webview 可以瀏覽的域。不管開(kāi)發(fā)人員沒(méi)有正確配置它，這將允許 webview 瀏覽到攻擊者控制的域。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。