02.11.2022 | Ошибка в Samsung Galaxy Store позволяет тайно устанавливать приложения на смартфон |
В приложении Galaxy Store для устройств Samsung была обнаружена уже исправленная уязвимость, которая может позволить удаленно выполнить код на уязвимых смартфонах. Уязвимость, затрагивающая Galaxy Store версии 4.5.32.4, связана с ошибкой межсайтового скриптинга ( XSS ), возникающей при обработке определенных глубоких ссылок (Deeplink). Согласно отчету SSD Secure Disclosure, когда пользователь получает доступ к ссылке с веб-сайта, содержащего ссылку на контент, злоумышленник может выполнить JavaScript -код в контексте веб-просмотра приложения Galaxy Store. Проблема связана с тем, как настроены глубокие ссылки для Samsung Marketing & Content Service (MCS), что может привести выполнению произвольного кода, введенного на веб-сайте MCS. Это можно использовать для загрузки и установки дропперов на устройство Samsung при переходе по ссылке По словам исследователей SSD Secure Disclosure, чтобы иметь возможность успешно использовать сервер жертвы, необходимо, чтобы HTTPS и CORS обходили Chrome. |
Проверить безопасность сайта