Samsung’un Android için Galaxy Store uygulamasında, yerel bir saldırgan tarafından gizlice rasgele uygulamalar yüklemek veya olası kurbanları web’deki sahte açılış sayfalarına yönlendirmek için kullanılabilecek iki güvenlik açığı açıklandı.
Takip edilen sorunlar CVE-2023-21433 ve CVE-2023-21434vardı keşfetti NCC Group tarafından ve Kasım ve Aralık 2022’de Güney Koreli chaebol’a bildirildi. Samsung sınıflandırılmış hatalar orta derecede riskli ve 4.5.49.8 sürümündeki yayınlanan düzeltmeler bu ayın başlarında gönderildi.
Daha önce Samsung Apps ve Galaxy Apps olarak bilinen Samsung Galaxy Store, Samsung tarafından üretilen Android cihazlar için kullanılan özel bir uygulama mağazasıdır. Eylül 2009’da piyasaya sürüldü.
İki güvenlik açığından ilki CVE-2023-21433’tür ve bu, bir Samsung cihazında zaten yüklü olan bir hileli Android uygulamasının Galaxy Store’da bulunan herhangi bir uygulamayı yüklemesini sağlayabilir.
Samsung, yetkisiz erişimi önlemek için uygun izinlerle yama yapıldığını söylediği bir uygunsuz erişim kontrolü durumu olarak tanımladı.
Burada, eksikliğin yalnızca Android 12 ve önceki sürümleri çalıştıran Samsung cihazlarını etkilediğini ve en son sürümde (Android 13) bulunanları etkilemediğini belirtmekte fayda var.
İkinci güvenlik açığı olan CVE-2023-21434, bir sistem olarak başlatılabilecek etki alanlarının listesini sınırlandırırken meydana gelen hatalı giriş doğrulama örneğiyle ilgilidir. Web Görünümü uygulama içinden, bir tehdit aktörünün filtreyi atlamasına ve kontrolleri altındaki bir alana göz atmasına etkili bir şekilde olanak tanır.
NCC Grubu araştırmacısı Ken Gannon, “Google Chrome’daki kötü amaçlı bir köprüye veya bir Samsung cihazında önceden yüklenmiş bir sahte uygulamaya dokunmak, Samsung’un URL filtresini atlayabilir ve saldırganın kontrol ettiği bir alana bir web görünümü başlatabilir.” Dedi.
Güncelleme, Samsung’un Ocak 2023 ayı için güvenlik güncellemelerini birkaç kusuru düzeltmekbazıları taşıyıcı ağ parametrelerini değiştirmek, izinsiz BLE reklamlarını kontrol etmek ve rastgele kod yürütme elde etmek için kullanılabilir.