Két biztonsági hibára derült fény a Samsung Galaxy Store Android-alkalmazásában, amelyeket egy helyi támadó kihasználva tetszőleges alkalmazásokat telepíthet csalárd céloldalakra az interneten.
A CVE-2023-21433 és CVE-2023-21434 jelzésű problémákat az NCC Group fedezte fel, amelyről 2022 novemberében és decemberében értesítették a dél-koreai chaebolt. A Samsung a hibákat közepes kockázatúnak minősítette, és a 4.5-ös verzióban kiadási javítások. .49,8 szállítva ebben a hónapban.
A Samsung Galaxy Store korábban Samsung Apps néven és Galaxy Apps néven volt ismert, amely a Samsung által gyártott Android-eszközökhöz használt dedikált alkalmazásbolt. 2009 szeptemberében indult.
A két sebezhetőség közül az első a CVE-2023-21433, amely lehetővé teheti, hogy egy Samsung-eszközön már telepített rosszindulatú Android-alkalmazás telepítsen bármilyen alkalmazást, amely elérhető a Galaxy Store-ban.
A Samsung a nem megfelelő hozzáférés-szabályozás esetét írja le, amelyet megfelelő engedélyekkel javítottak az illetéktelen hozzáférés megakadályozása érdekében.
A hiányosság az Android 12 és korábbi verzióját futtató Samsung készülékeket érinti, és nem érinti azokat, amelyeken a legújabb verzió (Android 13) fut.
A második sérülékenység, a CVE-2023-21434, a helytelen beviteli ellenőrzés egy előfordulásához kapcsolódik, amely akkor fordul elő, amikor korlátozza azon tartományok listáját, amelyek WebView-ként indíthatók el az alkalmazáson belül, ami hatékonyan lehetővé teszi a fenyegetést okozó szereplők számára a szűrő megkerülését és a ellenőrzésük alatt álló domain.
Egy rosszindulatú hivatkozás megérintése a Google Chrome-ban vagy egy előre telepített szélhámos alkalmazás egy Samsung-eszközön, amely képes megkerülni a Samsung URL-szűrőjét, és webnézetet indítani a támadó által irányított tartományban.
A frissítés akkor érkezik, amikor a Samsung biztonsági frissítéseket adott ki 2023. január hónapra, hogy orvosoljon néhány olyan hibát, amelyek közül néhány kihasználható a BLE-hirdetést engedély nélkül vezérlő szolgáltatói hálózati paraméterek módosítására.