Samsung Galaxy Store tem vulnerabilidade detectada

Duas falhas de segurança foram divulgadas no aplicativo Galaxy Store da Samsung para Android que podem ser exploradas por um invasor local para instalar aplicativos arbitrários furtivamente ou direcionar possíveis vítimas para páginas de destino fraudulentas na web.

Os problemas, rastreados como CVE-2023-21433 e CVE-2023-21434, foram descobertos pelo NCC Group e notificados à empresa sul-coreana em novembro e dezembro de 2022. A Samsung classificou os bugs como de risco moderado e lançou correções na versão 4.5.49.8 enviado no início deste mês.

A Samsung Galaxy Store, anteriormente conhecida como Samsung Apps e Galaxy Apps, é uma loja de aplicativos dedicada usada para dispositivos Android fabricados pela Samsung. Foi lançado em setembro de 2009.

A primeira das duas vulnerabilidades é a CVE-2023-21433, que pode permitir que um aplicativo Android não autorizado já instalado em um dispositivo Samsung instale qualquer aplicativo disponível na Galaxy Store.

A Samsung descreveu isso como um caso de controle de acesso impróprio que, segundo ela, foi corrigido com as permissões adequadas para impedir o acesso não autorizado. Vale a pena notar que a falha afeta apenas os dispositivos Samsung que executam o Android 12 e anteriores, e não afeta os que estão na versão mais recente (Android 13).

A segunda vulnerabilidade, CVE-2023-21434, está relacionada a uma instância de validação de entrada imprópria que ocorre ao limitar a lista de domínios que podem ser iniciados como um WebView de dentro do aplicativo, permitindo efetivamente que um agente de ameaça ignore o filtro e navegue até um domínio sob seu controle.

“Tocar em um hiperlink malicioso no Google Chrome ou em um aplicativo não autorizado pré-instalado em um dispositivo Samsung pode ignorar o filtro de URL da Samsung e lançar uma visualização da web para um domínio controlado pelo invasor”, disse Ken Gannon, pesquisador do NCC Group.

A atualização ocorre quando a Samsung lançou atualizações de segurança para o mês de janeiro de 2023 para corrigir várias falhas, algumas das quais podem ser exploradas para modificar os parâmetros de rede da operadora, controlar a publicidade BLE sem permissão e obter a execução arbitrária do código.

Com informações de The Hacker News