Se ha revelado una falla de seguridad ahora parcheada en la aplicación Galaxy Store para dispositivos Samsung que podría desencadenar la ejecución remota de comandos en los teléfonos afectados.
La vulnerabilidad, que afecta a la versión 4.5.32.4 de Galaxy Store, se relaciona con un error de secuencias de comandos en sitios cruzados (XSS) que ocurre al manejar ciertos enlaces profundos. A un investigador de seguridad independiente se le ha atribuido el informe del problema.
«Aquí, al no verificar el enlace profundo de forma segura, cuando un usuario accede a un enlace desde un sitio web que contiene el enlace profundo, el atacante puede ejecutar el código JS en el contexto de vista web de la aplicación Galaxy Store», SSD Secure Disclosure dijo en un aviso publicado la semana pasada.
Ataques XSS permitir que un adversario inyecte y ejecute código JavaScript malicioso cuando visite un sitio web desde un navegador u otra aplicación.
El problema identificado en la aplicación Galaxy Store tiene que ver con cómo se configuran los enlaces profundos para el servicio de contenido y marketing de Samsung (MCS), lo que podría conducir a un escenario en el que el código arbitrario inyectado en el sitio web de MCS podría conducir a su ejecución.
Esto podría aprovecharse para descargar e instalar aplicaciones con malware en el dispositivo Samsung al visitar el enlace.
«Para poder explotar con éxito el servidor de la víctima, es necesario tener un bypass HTTPS y CORS de Chrome», señalaron los investigadores.