Samsung Galaxy Store のバグにより、ハッカーが標的のデバイスに密かにアプリをインストールできた可能性がある from thehackernews.com
security summary
独立したセキュリティ研究者がこの問題を報告したとされています。
「ディープ リンクを安全にチェックしないことで、ユーザーがディープリンクを含む Web サイトからリンクにアクセスすると、攻撃者は Galaxy Store アプリケーションの Web ビュー コンテキストで JS コードを実行できます」と SSD Secure Disclosure は先週投稿されたアドバイザリで述べています。
Galaxy Store アプリで特定された問題は、Samsung のマーケティング & コンテンツ サービス (MCS) のディープ リンクの構成方法に関係しており、MCS Web サイトに挿入された任意のコードがその実行につながるシナリオにつながる可能性があります。
これを利用して、リンクにアクセスしたときに、マルウェアが混入したアプリを Samsung デバイスにダウンロードしてインストールすることができます。
「被害者のサーバーの悪用に成功するには、Chrome を HTTPS および CORS でバイパスする必要があります」と研究者は述べています。
コメント