三星設備的 Galaxy Store 應用程序中披露了一個現已修補的安全漏洞,該漏洞可能會觸發受影響手機上的遠程命令執行。

該漏洞影響 Galaxy Store 版本 4.5.32.4,與處理某些深層鏈接時發生的跨站點腳本 (XSS) 錯誤有關。一位獨立的安全研究人員報告了該問題。

“在這里,通過不安全地檢查深層鏈接,當用戶從包含深層鏈接的網站訪問鏈接時,攻擊者可以在 Galaxy Store 應用程序的 webview 上下文中執行 JS 代碼,”SSD Secure Disclosure在最后發布的公告中說星期。

XSS 攻擊允許攻擊者在從瀏覽器或其他應用程序訪問網站時注入和執行惡意 JavaScript 代碼。

Galaxy Store 應用程序中發現的問題與如何為三星的營銷和內容服務 ( MCS ) 配置深度鏈接有關,這可能導致注入 MCS 網站的任意代碼可能導致其執行的情況。

然后,當訪問該鏈接時,可以利用它在三星設備上下載和安裝帶有惡意軟件的應用程序。

研究人員指出:“為了能夠成功利用受害者的服務器,有必要讓 HTTPS 和 CORS 繞過 chrome。”

黑客 信息安全 網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接