L'application Galaxy Store, disponible pour les appareils de marque, était une faille de sécurité, qui pouvait déclencher l'exécution de marches à distance sur les téléphones concernés.
Ce bogue affectait la version 4.5.32.4 du Galaxy Store et était associé à une erreur de "script intersite" (XSS) qui se produisait lors de la gestion de certains liens profonds. Un enquêteur de sécurité indépendant a été crédité d'avoir signalé le problème.
Leia MAIS:
- One UI 5 : découvrez les nouvelles fonctions de l'interface Android 13 pour les appareils Galaxy
- Galaxy Z Fold 2 et d'autres anciens modèles Samsung ont des problèmes de batterie
- Samsung lance de nouveaux bracelets Global Goals pour Galaxy Watch 4 et Watch 5
"Lorsqu'un utilisateur clique sur un lien de site Web contenant un lien profond, l'attaquant peut exécuter du code JS dans le contexte de la vue Web de l'application Galaxy Store", a déclaré SSD Secure Disclosure dans sa dernière déclaration.
Les attaques XSS permettent à un attaquant d'injecter et d'exécuter un code JavaScript malveillant lorsqu'il visite un site Web à partir d'un navigateur ou d'une autre application.
Le problème identifié dans l'application Galaxy Store concerne la manière dont les liens profonds sont configurés pour le service marketing et de contenu (MCS) de Samsung, ce qui pourrait conduire à un scénario dans lequel du code arbitraire injecté dans le site Web MCS pourrait conduire à son exécution. .
Il convient de mentionner que cela peut également être utilisé pour télécharger et installer des applications malveillantes sur l'appareil Samsung en cliquant sur le lien.
"Pour pouvoir exploiter avec succès le serveur de la victime, il est nécessaire que HTTPS et CORS contournent Chrome", ont noté les chercheurs.
Mais, selon les informations, heureusement, cette vulnérabilité a déjà été corrigée.
J'ai regardé les nouvelles vidéos sur YouTube de Technology Refugee ? Abonnez-vous à la chaîne !
