- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 36д 19ч 12м
- Сделки
- 251
- Нарушения
- 0 / 0
Уязвимости под идентификаторами CVE-2023-21433 и CVE-2023-21434 были обнаружены NCC Group в ноябре и декабре прошлого года. Южнокорейский конгломерат был оперативно уведомлен о наличии уязвимостей. Сама компания Samsung классифицировала их как уязвимости с умеренным риском, а также выпустила исправления с версией магазина 4.5.49.8.
Первая из двух уязвимостей, CVE-2023-21433, может позволить уже установленному мошенническому приложению Android на устройстве Samsung установить любое другое приложение, доступное в магазине Galaxy Store. Samsung описал это как «случай ненадлежащего контроля доступа», который, по её словам, был исправлен с соответствующими разрешениями для предотвращения несанкционированного доступа. Уязвимость затрагивает только устройства Samsung, работающие под управлением Android 12 и более ранних версий, и не влияет на устройства с последней версией (Android 13).
Вторая уязвимость, CVE-2023-21434, связана со случаем неправильной проверки ввода. Она возникает при ограничении списка доменов, которые могут быть запущены в веб-представлении из приложения. «Переход по вредоносной гиперссылке из Google Chrome или предустановленного мошеннического приложения на устройстве Samsung может обойти фильтр URL-адресов Samsung и запустить веб-просмотр домена, контролируемого злоумышленниками», — заявил Кен Гэннон, исследователь NCC Group.
Samsung Galaxy Store, ранее известный как Samsung Apps и Galaxy Apps, представляет собой специализированный магазин приложений, используемый для устройств Android производства Samsung. Он был запущен в сентябре 2009 года.
