(資料圖)

IT之家 1 月 21 日消息，NCC Group 研究人員發(fā)現(xiàn)三星官方應用商城存在兩個 CVE 漏洞。攻擊者可以利用這兩個漏洞在用戶不知情的情況下安裝任意應用程序，或者引導受害者到惡意 Web 地址。

NCC Group 研究人員在 2022 年 11 月 23 日至 12 月 3 日期間發(fā)現(xiàn)了這兩個漏洞，三星在 Galaxy Store 4.5.49.8 版本中已經(jīng)修復。NCC Group 的研究人員 Mishaal Rahman 今天披露了這兩個漏洞。

IT之家了解到，已經(jīng)升級到安卓 13 / OneUI 5.0 的三星設備并不受影響，運行安卓 12 及更低版本的三星設備在升級到新版本之后可以不受影響。

NCC Group 發(fā)現(xiàn) Galaxy App Store 中的一個 webview 包含一個過濾器，該過濾器限制了 webview 可以瀏覽的域。不管開發(fā)人員沒有正確配置它，這將允許 webview 瀏覽到攻擊者控制的域。

關鍵詞： 安全漏洞