The Hacker News 網站披露,三星 Galaxy Store 中披露一個現已修復的安全漏洞,該漏洞可能會觸發受影響手機上的遠程命令執行。

據悉,該漏洞由一名獨立安全研究員發現并上報,主要影響 Galaxy Store 4.5.32.4 版本,與處理某些深度鏈接時出現的跨站腳本(XSS)漏洞有關。

上周,Disclosure 在公告中表示,由于沒有安全檢查深層鏈接,當用戶從包含深層鏈接的網站訪問鏈接時,攻擊者可以在 Galaxy Store 應用程序的 webview 上下文中執行 JS 代碼。

XSS 攻擊允許攻擊者在從瀏覽器或其他應用程序訪問網站時注入和執行惡意的 JavaScript 代碼。

Galaxy Store 應用程序中出現的安全漏洞與三星的營銷和內容服務(MCS)深層鏈接配置方式有關,這可能導致向 MCS 網站注入并執行任意代碼。

之后,當用戶訪問該鏈接時,可能被用來在三星設備上下載和安裝帶有惡意軟件的應用程序。另外,研究人員指出,為了能夠成功利用受害者的服務器,攻擊者有必要對 chrome 進行 HTTPS 和 CORS 繞過。

黑客 軟件 信息安全 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接