Une faille de sécurité désormais corrigée a été révélée dans l’application Galaxy Store pour les appareils Samsung qui pourrait potentiellement déclencher l’exécution de commandes à distance sur les téléphones concernés.
La vulnérabilité, qui affecte Galaxy Store version 4.5.32.4, concerne un bogue de script intersite (XSS) qui se produit lors de la gestion de certains liens profonds. Un chercheur indépendant en sécurité a été crédité d’avoir signalé le problème.
« Ici, en ne vérifiant pas le lien profond de manière sécurisée, lorsqu’un utilisateur accède à un lien à partir d’un site Web contenant le lien profond, l’attaquant peut exécuter du code JS dans le contexte de la vue Web de l’application Galaxy Store », a déclaré SSD Secure Disclosure. a dit dans un avis publié la semaine dernière.
Attaques XSS permettre à un adversaire d’injecter et d’exécuter du code JavaScript malveillant lors de la visite d’un site Web à partir d’un navigateur ou d’une autre application.
Le problème identifié dans l’application Galaxy Store concerne la configuration des liens profonds pour le service de marketing et de contenu de Samsung (SCS), conduisant potentiellement à un scénario dans lequel un code arbitraire injecté dans le site Web MCS pourrait conduire à son exécution.
Cela pourrait ensuite être exploité pour télécharger et installer des applications contenant des logiciels malveillants sur l’appareil Samsung lors de la visite du lien.
« Pour pouvoir exploiter avec succès le serveur de la victime, il est nécessaire d’avoir un contournement HTTPS et CORS de chrome », ont noté les chercheurs.
