La aplicación Galaxy Store, disponible para dispositivos de la marca, presentaba una falla de seguridad, lo que podría desencadenar la ejecución de caminatas remotas en los teléfonos afectados.
Este error afectó a Galaxy Store versión 4.5.32.4 y está asociado con un error de "secuencias de comandos entre sitios" (XSS) que ocurre al manejar ciertos enlaces profundos. A un investigador de seguridad independiente se le atribuyó el informe del problema.
Leia mais:
- One UI 5: descubre las nuevas funciones de la interfaz de Android 13 para dispositivos Galaxy
- Galaxy Z Fold 2 y otros modelos antiguos de Samsung tienen problemas con la batería
- Samsung lanza nuevas correas Global Goals para Galaxy Watch 4 y Watch 5
"Cuando un usuario hace clic en el enlace de un sitio web que contiene un enlace profundo, el atacante puede ejecutar el código JS en el contexto de la vista web de la aplicación Galaxy Store", dijo SSD Secure Disclosure en su última declaración.
Los ataques XSS permiten que un atacante inyecte y ejecute código JavaScript malicioso cuando visita un sitio web desde un navegador u otra aplicación.
El problema identificado en la aplicación Galaxy Store tiene que ver con la forma en que se configuran los enlaces profundos para el Servicio de contenido y marketing (MCS) de Samsung, lo que podría conducir a un escenario en el que el código arbitrario inyectado en el sitio web de MCS podría conducir a su ejecución.
Vale la pena mencionar que esto también se puede aprovechar para descargar e instalar aplicaciones de malware en el dispositivo Samsung haciendo clic en el enlace.
"Para poder explotar con éxito el servidor de la víctima, es necesario tener HTTPS y CORS sin pasar por Chrome", señalaron los investigadores.
Pero, según la información, afortunadamente esta vulnerabilidad ya fue reparada.
YouTube
