O aplicativo Galaxy Store, disponível para aparelhos da marca, estava com uma falha de segurança, que poderia desencadear a execução de comandos remotos nos telefones afetados.
Esse bug afetava a versão 4.5.32.4 da Galaxy Store, e está associado a um erro de “cross-site scripting” (XSS) que ocorre ao lidar com determinados links diretos. Foi creditado a um investigador de segurança independente o relato do problema.
Leia mais:
- One UI 5: conheça as novas funções da interface do Android 13 para dispositivos Galaxy
- Galaxy Z Fold 2 e outros modelos antigos da Samsung têm problemas na bateria
- Samsung lança novas pulseiras Global Goals para Galaxy Watch 4 e Watch 5
“Quando um usuário acessa um link de um site que contém um link direto, o invasor pode executar o código JS no contexto de visualização da web do aplicativo Galaxy Store”, informou o SSD Secure Disclosure em seu último comunicado.
Os ataques XSS permitem que um invasor injete e execute um código JavaScript malicioso ao visitar um site a partir de um navegador ou outro aplicativo.
O problema identificado no aplicativo Galaxy Store tem a ver com a forma como os links diretos são configurados para o Marketing & Content Service (MCS) da Samsung, levando potencialmente a um cenário em que o código arbitrário injetado no site do MCS pode levar à sua execução.
Vale mencionar que isso também pode ser aproveitado para baixar e instalar aplicativos com malware no dispositivo Samsung ao clicar no link.
“Para poder explorar com sucesso o servidor da vítima, é necessário ter HTTPS e CORS ignorando o Chrome”, observaram os pesquisadores.
Mas, de acordo com informações, felizmente essa vulnerabilidade já foi corrigida.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: