据悉,该漏洞由一名独立安全研究员发现并上报,主要影响 Galaxy Store 4.5.32.4 版本,与处理某些深度链接时出现的跨站脚本(XSS)漏洞有关。
上周,Disclosure 在公告中表示,由于没有安全检查深层链接,当用户从包含深层链接的网站访问链接时,攻击者可以在 Galaxy Store 应用程序的 webview 上下文中执行 JS 代码。
XSS 攻击允许攻击者在从浏览器或其他应用程序访问网站时注入和执行恶意的 JavaScript 代码。
Galaxy Store 应用程序中出现的安全漏洞与三星的营销和内容服务(MCS)深层链接配置方式有关,这可能导致向 MCS 网站注入并执行任意代码。
之后,当用户访问该链接时,可能被用来在三星设备上下载和安装带有恶意软件的应用程序。另外,研究人员指出,为了能够成功利用受害者的服务器,攻击者有必要对 chrome 进行 HTTPS 和 CORS 绕过。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理