Bug da Samsung Galaxy Store pode permitir que hackers instalem aplicativos secretamente em dispositivos de destino.

Uma falha de segurança agora corrigida foi divulgada no aplicativo Galaxy Store para dispositivos Samsung que poderia desencadear a execução de comandos remotos nos telefones afetados.

A vulnerabilidade, que afeta o Galaxy Store versão 4.5.32.4, está relacionada a um bug de cross-site scripting (XSS) que ocorre ao lidar com determinados links diretos . Um pesquisador de segurança independente foi creditado por relatar o problema.

“Aqui, ao não verificar o deep link com segurança, quando um usuário acessa um link de um site que contém o deeplink, o invasor pode executar o código JS no contexto de visualização da Web do aplicativo Galaxy Store”, disse o SSD Secure Disclosure em um comunicado publicado no último semana.

O problema identificado no aplicativo Galaxy Store tem a ver com a forma como os links profundos são configurados para o Marketing & Content Service ( MCS ) da Samsung, levando potencialmente a um cenário em que um código arbitrário injetado no site MCS pode levar à sua execução.

Isso pode ser aproveitado para baixar e instalar aplicativos com malware no dispositivo Samsung ao visitar o link.

“Para poder explorar com sucesso o servidor da vítima, é necessário ter HTTPS e CORS para contornar o cromo”, observaram os pesquisadores.