IT之家 1 月 21 日消息,NCC Group 研究人員發現三星官方應用商城存在兩個 CVE 漏洞。攻擊者可以利用這兩個漏洞在使用者不知情的情況下安裝任意應用程式,或者引導受害者到惡意 Web 位址。
NCC Group 研究人員在 2022 年 11 月 23 日至 12 月 3 日期間發現了這兩個漏洞,三星在 Galaxy Store 4.5.49.8 版本中已經修複。NCC Group 的研究人員 Mishaal Rahman 今天披露了這兩個漏洞。
IT之家了解到,已經更新到安卓 13 / OneUI 5.0 的三星裝置并不受影響,運作安卓 12 及更低版本的三星裝置在更新到新版本之後可以不受影響。
NCC Group 發現 Galaxy App Store 中的一個 webview 包含一個過濾器,該過濾器限制了 webview 可以浏覽的域。不管開發人員沒有正确配置它,這将允許 webview 浏覽到攻擊者控制的域。
