三星Galaxy Store App漏洞能讓用戶手機被安裝惡意程式
三星Galaxy Store App之前有項漏洞可讓駭客在用戶手機上安裝並啟用惡意App,執行遠端指令執行攻擊。三星已經發布修補程式。
這漏洞是出在Galaxy Store App處理深層連結(deeplink)的過程。深層連結可以從其他App或瀏覽器呼叫,在網頁中啟動App的超連結。用戶一點擊,Galaxy Store即經由webview處理和執行深層連結。對App來說,深層連結是一種常見的遠端攻擊管道。
這漏洞出在Galaxy Store App在用戶存取包含深層連結的網站時,未有效檢查深層連結,讓攻擊者在Galaxy Store App的webview上執行JavaScript惡意程式碼。這可歸類為跨網站指令碼(XSS)攻擊漏洞,可使遠端攻擊者在用戶手機上觸發執行惡意指令。
這項漏洞是由一名獨立安全研究人員透過SSD Secure Disclosure通報。本漏洞似乎沒有編號,影響Galaxy Store App 4.5.32.4版。
三星接獲通報後,目前已經將修補程式派送到所有三星裝置上。
