Se han revelado dos fallas de seguridad en la aplicación Galaxy Store de Samsung para Android que podrían ser aprovechadas por un atacante local para instalar sigilosamente aplicaciones arbitrarias o dirigir a posibles víctimas a páginas de destino fraudulentas en la web.
Los problemas, rastreados como CVE-2023-21433 y CVE-2023-21434fueron descubierto por NCC Group y notificado al chaebol de Corea del Sur en noviembre y diciembre de 2022. Samsung clasificado los errores como riesgo moderado y las correcciones publicadas en la versión 4.5.49.8 se enviaron a principios de este mes.
Samsung Galaxy Store, anteriormente conocida como Samsung Apps y Galaxy Apps, es una tienda de aplicaciones dedicada que se utiliza para dispositivos Android fabricados por Samsung. Fue lanzado en septiembre de 2009.
La primera de las dos vulnerabilidades es CVE-2023-21433, que podría permitir que una aplicación no autorizada de Android ya instalada en un dispositivo Samsung instale cualquier aplicación disponible en Galaxy Store.
Samsung lo describió como un caso de control de acceso inadecuado que, según dijo, se parcheó con los permisos adecuados para evitar el acceso no autorizado.
Vale la pena señalar aquí que la deficiencia solo afecta a los dispositivos Samsung que ejecutan Android 12 y versiones anteriores, y no afecta a los que tienen la última versión (Android 13).
La segunda vulnerabilidad, CVE-2023-21434, se relaciona con una instancia de validación de entrada incorrecta que ocurre al limitar la lista de dominios que podrían lanzarse como un WebView desde dentro de la aplicación, lo que permite efectivamente que un actor de amenazas eluda el filtro y busque un dominio bajo su control.
«Tocar un hipervínculo malicioso en Google Chrome o una aplicación maliciosa preinstalada en un dispositivo Samsung puede pasar por alto el filtro de URL de Samsung y lanzar una vista web a un dominio controlado por un atacante», dijo Ken Gannon, investigador de NCC Group.
La actualización se produce cuando Samsung lanzó actualizaciones de seguridad para el mes de enero de 2023 para corregir varios defectosalgunos de los cuales podrían explotarse para modificar los parámetros de la red del operador, controlar la publicidad BLE sin permiso y lograr la ejecución de código arbitrario.