W aplikacji Galaxy Store na telefony Samsung wykryto poważny błąd, który może skutkować nieuprawnionym wykonaniem kodu. Na szczęście jest już aktualizacja, ale oczywiście trzeba o niej pamiętać.
Galaxy Store to alternatywny sklep z aplikacjami, rutynowo instalowany na każdym telefonie Samsunga obok Google Sklepu Play. Konsumentom zazwyczaj służy głównie do aktualizowania apek fabrycznych, ewentualnie pobierania nowych motywów, przez co niejako schodzi na drugi plan. Teraz jednak wchodzi na piedestał, niestety z niezbyt chwalebnej przyczyny.
W wersji numer 4.5.32.4 odkryto dość poważny błąd bezpieczeństwa, który w skrajnym wypadku może doprowadzić do nieautoryzowanego wykonania kodu, a co za tym idzie zainfekowania urządzenia Samsung Galaxy – donosi grupa SSD Disclosure. Co prawda producent otrzymał już stosowne zgłoszenie i nawet zdążył rzeczoną podatność usunąć, ale to oczywiście wymaga możliwie najszybszej aktualizacji sklepu po stronie użytkownika.
Wykryta podatność należy do klasy XSS. Mówiąc wprost, pozwala ona na wstrzyknięcie do przeglądarki ofiary, w tym przypadku otwieranej w kontekście Galaxy Store, szkodliwego kodu JavaScript. Właśnie dzięki temu potencjalny przestępca może zainstalować szkodliwe oprogramowanie już wprost na cudzym samsungu, bez konieczności pozyskania dodatkowych uprawnień czy zgód.
Jak czytamy, problem ma związek z wadliwym systemem obsługi linków głębokich, prowadzących od usługi Marketing & Content Service (MCS) firmy Samsung. Z jakiegoś względu w tym konkretnym przypadku brakuje weryfikacji podawanych funkcjom zmiennych. Upraszczając, jeśli tylko jakiś JS zostanie podłożony jako parametr, telefon bezrefleksyjnie go wykona – a gdy napastnik obejdzie jeszcze HTTPS oraz mechanizm CORS w Chrome, serwer ofiary ataku stoi otworem.
Tak czy inaczej, jeśli masz samsunga, to po prostu zaktualizuj Galaxy Store do najnowszej możliwej wersji. Smartfon powinien automatycznie zasugerować poprawkę, ale jeśli tak się nie stało, po prostu odpal aplikację Galaxy Store i wówczas odpowiedni monit od razu pojawi się na ekranie.
Źródło zdjęć: Framesira / Shutterstock
Źródło tekstu: SSD Disclosure, oprac. własne