三星 Galaxy Store 漏洞可能让黑客在目标设备上秘密安装应用程序

Hackernews 编译，转载请注明出处：

三星设备的Galaxy Store应用程序中披露了一个现已修补的安全漏洞，该漏洞可能会导致受影响手机上的远程命令执行。

该漏洞影响Galaxy Store 4.5.32.4版本，与处理某些深层链接时发生的跨站点脚本（XSS）漏洞有关。

SSD Secure Disclosure在上周发布的一份公告中表示：“在这种情况下，由于没有安全检查深度链接，当用户从包含深度链接的网站访问链接时，攻击者可以在Galaxy Store应用程序的web视图上下文中执行JS代码。”

XSS攻击允许攻击者在从浏览器或其他应用程序访问网站时注入并执行恶意JavaScript代码。

Galaxy Store应用程序中发现的漏洞与三星营销和内容服务（MCS）的深度链接配置有关，这可能导致注入MCS网站的任意代码执行。

然后，当访问该链接时，可以利用此功能在三星设备上下载和安装恶意软件应用程序。

研究人员指出：“为了能够成功利用受害者的服务器，有必要使用HTTPS和CORS绕过chrome。”

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文