Ошибки в официальном магазине приложений Samsung позволяли злоумышленникам устанавливать любое приложение из Galaxy Store на целевые устройства (без ведома жертвы) или направлять пользователей на вредоносные сайты.
Две уязвимости в Samsung Galaxy Store были обнаружены специалистами NCC Group с 23 ноября по 3 декабря 2022 года. С 1 января 2023 года производитель объявил об устранении двух недостатков, выпустив версию 4.5.49.8 приложения Galaxy. Магазин, исследователи выявили. Технические подробности находили ошибки и даже публиковали PoC-эксплойты для них.
Первой уязвимостью (CVE-2023-21433) была проблема с контролем доступа, позволяющая злоумышленникам установить на устройство жертвы любое приложение, доступное в Galaxy Store.
Выяснилось, что официальный магазин Samsung небезопасно относился к входящим намерениям, позволяя приложениям на устройстве отправлять произвольные запросы на установку других приложений. Кроме того, в намерении может быть указано, следует ли открывать новое приложение сразу после установки, что дало бы потенциальным злоумышленникам дополнительные возможности для проведения атаки.
Вторая уязвимость (CVE-2023-21434) была связана с некорректной проверкой ввода, что позволяло злоумышленникам выполнять JavaScript на целевом устройстве. Исследователи отметили, что WebView в Galaxy App Store содержит фильтр, который ограничивает домены, с которыми можно взаимодействовать. Однако этот фильтр настроен неправильно и может быть проигнорирован, что заставит WebView получить доступ к вредоносному домену.
По сути, единственным условием такой атаки было наличие на вредоносном домене строки «player.glb.samsung-gamelauncher.com». То есть злоумышленник мог зарегистрировать любой домен и добавить нужную часть в качестве поддомена.
Эксперты отмечают, что выполнение произвольного кода JavaScript в WebView из приложения с системными привилегиями, такого как Galaxy Store, может привести к серьезным последствиям, включая взаимодействие с пользовательским интерфейсом, доступ к конфиденциальной информации или вызвать сбои.
Эксплойтом в данном случае была ссылка, при нажатии на которую открывалась страница с вредоносным кодом JavaScript, работающим на устройстве.
Следует отметить, что для реализации обеих атак злоумышленнику потребуется локальный доступ, но такие условия редко останавливают обученных хакеров и распространителей вредоносных программ.
Также сообщается, что проблему CVE-2023-21433 нельзя использовать на устройствах Samsung под управлением Android 13, даже если на них установлена и запущена более старая версия Galaxy Store. Это связано с дополнительными средствами защиты, добавленными в последнюю версию мобильной ОС Google.
Russian
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Spanish