Ошибки в официальном магазине приложений Samsung позволяли злоумышленникам устанавливать любое приложение из Galaxy Store на целевые устройства (без ведома жертвы) или направлять пользователей на вредоносные сайты.

Две уязвимости в Samsung Galaxy Store были обнаружены специалистами NCC Group с 23 ноября по 3 декабря 2022 года. С 1 января 2023 года производитель объявил об устранении двух недостатков, выпустив версию 4.5.49.8 приложения Galaxy. Магазин, исследователи выявили. Технические подробности находили ошибки и даже публиковали PoC-эксплойты для них.

Первой уязвимостью (CVE-2023-21433) была проблема с контролем доступа, позволяющая злоумышленникам установить на устройство жертвы любое приложение, доступное в Galaxy Store.

Выяснилось, что официальный магазин Samsung небезопасно относился к входящим намерениям, позволяя приложениям на устройстве отправлять произвольные запросы на установку других приложений. Кроме того, в намерении может быть указано, следует ли открывать новое приложение сразу после установки, что дало бы потенциальным злоумышленникам дополнительные возможности для проведения атаки.

Эксплойт показывает намерение установить Pokemon Go

Вторая уязвимость (CVE-2023-21434) была связана с некорректной проверкой ввода, что позволяло злоумышленникам выполнять JavaScript на целевом устройстве. Исследователи отметили, что WebView в Galaxy App Store содержит фильтр, который ограничивает домены, с которыми можно взаимодействовать. Однако этот фильтр настроен неправильно и может быть проигнорирован, что заставит WebView получить доступ к вредоносному домену.

По сути, единственным условием такой атаки было наличие на вредоносном домене строки «player.glb.samsung-gamelauncher.com». То есть злоумышленник мог зарегистрировать любой домен и добавить нужную часть в качестве поддомена.

Эксперты отмечают, что выполнение произвольного кода JavaScript в WebView из приложения с системными привилегиями, такого как Galaxy Store, может привести к серьезным последствиям, включая взаимодействие с пользовательским интерфейсом, доступ к конфиденциальной информации или вызвать сбои.

Эксплойтом в данном случае была ссылка, при нажатии на которую открывалась страница с вредоносным кодом JavaScript, работающим на устройстве.

Следует отметить, что для реализации обеих атак злоумышленнику потребуется локальный доступ, но такие условия редко останавливают обученных хакеров и распространителей вредоносных программ.

Также сообщается, что проблему CVE-2023-21433 нельзя использовать на устройствах Samsung под управлением Android 13, даже если на них установлена ​​и запущена более старая версия Galaxy Store. Это связано с дополнительными средствами защиты, добавленными в последнюю версию мобильной ОС Google.

Source

ЧИТАТЬ  «Ъ» узнал о признании для чиновников и депутатов отдыха в РФ

от admin