The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project The BrandLinks Project

Новости Ошибка в Samsung Galaxy Store позволяет тайно устанавливать приложения на смартфон

battarismos

Бородач
Команда форума
Модератор DeepWeb
🍺 Бар «Собрание»
Регистрация
06.12.2020
Сообщения
173
Реакции
45
Настройка глубоких ссылок позволяет выполнить XSS-атаку и доставить дроппер на устройство.
image



В приложении Galaxy Store для устройств Samsung была обнаружена уже исправленная уязвимость, которая может позволить удаленно выполнить код на уязвимых смартфонах.

Уязвимость, затрагивающая Galaxy Store версии 4.5.32.4, связана с ошибкой межсайтового скриптинга (XSS), возникающей при обработке определенных глубоких ссылок (Deeplink).

Согласно отчету SSD Secure Disclosure, когда пользователь получает доступ к ссылке с веб-сайта, содержащего ссылку на контент, злоумышленник может выполнить JavaScript-код в контексте веб-просмотра приложения Galaxy Store.

Проблема связана с тем, как настроены глубокие ссылки для Samsung Marketing & Content Service (MCS), что может привести выполнению произвольного кода, введенного на веб-сайте MCS. Это можно использовать для загрузки и установки дропперов на устройство Samsung при переходе по ссылке

По словам исследователей SSD Secure Disclosure, чтобы иметь возможность успешно использовать сервер жертвы, необходимо, чтобы HTTPS и CORS обходили Chrome.
 
Верх