(資料圖)

IT之家 1 月 21 日消息，NCC Group 研究人員發(fā)現(xiàn)三星官方應(yīng)用商城存在兩個 CVE 漏洞。攻擊者可以利用這兩個漏洞在用戶不知情的情況下安裝任意應(yīng)用程序，或者引導(dǎo)受害者到惡意 Web 地址。

NCC Group 研究人員在 2022 年 11 月 23 日至 12 月 3 日期間發(fā)現(xiàn)了這兩個漏洞，三星在 Galaxy Store 4.5.49.8 版本中已經(jīng)修復(fù)。NCC Group 的研究人員 Mishaal Rahman 今天披露了這兩個漏洞。

IT之家了解到，已經(jīng)升級到安卓 13 / OneUI 5.0 的三星設(shè)備并不受影響，運行安卓 12 及更低版本的三星設(shè)備在升級到新版本之后可以不受影響。

NCC Group 發(fā)現(xiàn) Galaxy App Store 中的一個 webview 包含一個過濾器，該過濾器限制了 webview 可以瀏覽的域。不管開發(fā)人員沒有正確配置它，這將允許 webview 瀏覽到攻擊者控制的域。

關(guān)鍵詞： 安全漏洞