Samsung: bug no Galaxy Store permitia controle remoto de hackers em aparelhos

O aplicativo Galaxy Store, disponível para aparelhos da marca, estava com uma falha de segurança, que poderia desencadear a execução de comandos remotos nos telefones afetados.

Esse bug afetava a versão 4.5.32.4 da Galaxy Store, e está associado a um erro de "cross-site scripting" (XSS) que ocorre ao lidar com determinados links diretos. Foi creditado a um investigador de segurança independente o relato do problema.

"Quando um usuário acessa um link de um site que contém um link direto, o invasor pode executar o código JS no contexto de visualização da web do aplicativo Galaxy Store", informou o SSD Secure Disclosure em seu último comunicado.

Os ataques XSS permitem que um invasor injete e execute um código JavaScript malicioso ao visitar um site a partir de um navegador ou outro aplicativo.

O problema identificado no aplicativo Galaxy Store tem a ver com a forma como os links diretos são configurados para o Marketing & Content Service (MCS) da Samsung, levando potencialmente a um cenário em que o código arbitrário injetado no site do MCS pode levar à sua execução.

Vale mencionar que isso também pode ser aproveitado para baixar e instalar aplicativos com malware no dispositivo Samsung ao clicar no link.

"Para poder explorar com sucesso o servidor da vítima, é necessário ter HTTPS e CORS ignorando o Chrome", observaram os pesquisadores.

Mas, de acordo com informações, felizmente essa vulnerabilidade já foi corrigida.