三星设备的 Galaxy Store 应用程序中披露了一个现已修补的安全漏洞,该漏洞可能会触发受影响手机上的远程命令执行。

该漏洞影响 Galaxy Store 版本 4.5.32.4,与处理某些深层链接时发生的跨站点脚本 (XSS) 错误有关。一位独立的安全研究人员报告了该问题。

“在这里,通过不安全地检查深层链接,当用户从包含深层链接的网站访问链接时,攻击者可以在 Galaxy Store 应用程序的 webview 上下文中执行 JS 代码,”SSD Secure Disclosure在最后发布的公告中说星期。

XSS 攻击允许攻击者在从浏览器或其他应用程序访问网站时注入和执行恶意 JavaScript 代码。

Galaxy Store 应用程序中发现的问题与如何为三星的营销和内容服务 ( MCS ) 配置深度链接有关,这可能导致注入 MCS 网站的任意代码可能导致其执行的情况。

然后,当访问该链接时,可以利用它在三星设备上下载和安装带有恶意软件的应用程序。

研究人员指出:“为了能够成功利用受害者的服务器,有必要让 HTTPS 和 CORS 绕过 chrome。”

黑客 信息安全 网络安全 漏洞
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接