Исследователи SSD Secure Disclosure рассказали о баге, который был недавно исправлен в приложении Galaxy Store для устройств Samsung. Связанная с XSS уязвимость приводила к удаленному выполнению команд на уязвимых устройствах и позволяла загружать и устанавливать сторонние приложения.
Обнаружение этой уязвимости приписывают исследователю, который пожелал остаться неизвестным. Проблема затрагивала Galaxy Store версии 4.5.32.4 и была связана с межсайтовым скриптингом (XSS), возникая при обработке определенных глубоких ссылок (deep link).
«В приложении Galaxy Store обрабатываются глубокие ссылки. Deep link можно вызывать из другого приложения или браузера. При получении подходящих глубоких ссылок Galaxy Store обработает их и отобразит их через webview. Так как проверка глубоких ссылок осуществлялась небезопасным образом, когда пользователь получал доступ к ссылке с сайта, содержащего deep link, злоумышленник мог выполнить JS-код в контексте webview приложения Galaxy Store», — объясняют специалисты.
Проблема была связана с настройками глубоких ссылок в Samsung Marketing & Content Service (MCS), что может привести к сценарию, когда инъекция произвольного кода приводила к его выполнению. Затем это обстоятельство можно было использовать для загрузки и установки сторонних приложений на устройства Samsung, без взаимодействия с пользователем, через простой переход по ссылке.
Исследователи пишут, что в настоящее время производитель уже выпустил исправления, которые уже распространены на все уязвимые устройства Samsung.