Galaxy App Store'daki iki güvenlik açığı, Samsung’un cihazları için resmi deposu, saldırganların kullanıcının bilgisi olmadan Galaxy mağazasına herhangi bir uygulamayı yüklemesini veya kurbanları kötü niyetli bir web konumuna yönlendirmesini sağlayabilir.
Sorunlar, 23 Kasım ve 3 Aralık 2022 arasında NCC grubundan araştırmacılar tarafından keşfedildi.
Koreli akıllı telefon üreticisi, 1 Ocak 2023'te iki kusuru düzelttiğini ve Galaxy App Store (4.5.49.8) için yeni bir sürüm yayınladığını duyurdu.
Bugün, NCC Group, iki güvenlik sorunu için teknik ayrıntılar yayınladı ve her biri için Konsept Kanıtı (POC) istismar kodu yayınladı.
Her iki saldırının da yerel erişim gerektirdiği, motive edilmiş bilgisayar korsanları ve mobil cihazları hedefleyen kötü amaçlı yazılım distribütörleri için kolay bir başarı gerektirdiğine dikkat edilmelidir.
İki kusurdan ilki CVE-2023-21433 olarak izlenir ve saldırganların Galaxy App Store'da mevcut uygulamaları yüklemesine izin veren yanlış bir erişim kontrolüdür.
NCC, Galaxy App Store'un gelen niyetleri güvenli bir şekilde ele almadığını ve cihazdaki uygulamaların keyfi uygulama yükleme istekleri göndermesine izin verdiğini keşfetti.
NCC’nin analistleri tarafından paylaşılan POC, bir uygulama bileşenine App Store'a belirtilen hedef uygulamayla bir niyet göndererek “Pokemon Go” oyununu yüklemesini öğreten bir 'ADB' (Android Hata Ayıklama Köprüsü) komutudur.
Amaç, yeni uygulamanın kurulumundan sonra açılıp açılmayacağını da belirtebilir, bu da tehdit aktörlerine saldırının nasıl yapılacağı konusunda daha fazla seçenek sunar.
İkinci güvenlik açığı, CVE-2023-21434'tür, saldırganların hedef cihazda JavaScript'i yürütmesini sağlayan yanlış bir giriş doğrulamadır.
NCC’nin araştırmacıları, Galaxy App Store'daki webViews'in içinde gösterilebileceği alanları sınırlayan bir filtre içerdiğini buldu. Ancak, bu filtre düzgün bir şekilde yapılandırılmamıştır ve WebView'i kötü amaçlı alanlara erişmeye zorlamak için atlanabilir.
Raporda sunulan POC, Chrome'dan tıklanırsa, kötü amaçlı JavaScript içeren bir sayfa açıp cihazda çalıştıracak bir köprüdür.
NCC, bu saldırı için tek ön koşulun kötü niyetli alanın “Player.glb.samsung-gamelauncher.com” bölümüne sahip olması olduğunu açıklıyor. Bir saldırgan herhangi bir alan adını kaydedebilir ve bu kısmı bir alt alan olarak ekleyebilir.
Galaxy Store gibi sistem privilege uygulamalarından WebViews'de keyfi JavaScript kodunu çalıştırmak, ciddi güvenlik yankıları ile gelebilir.
Saldırganın nedenlerine bağlı olarak, saldırı uygulama UI etkileşimine, hassas bilgilere erişime veya çökme uygulamalarına yol açabilir.
Kullanıcının bilgisi olmadan Galaxy Store'dan uygulamaların kurulumu ve otomatik olarak başlatılması, özellikle saldırgan Galaxy mağazasına önceden kötü amaçlı bir uygulama yüklüyorsa, veri veya gizlilik ihlallerine de yol açabilir.
Galaxy mağazasının daha eski ve savunmasız bir versiyonunu kullansalar bile, Android 13 çalıştıran Samsung cihazlarında CVE-2023-21433'ün sömürü olmadığını belirtmek önemlidir. Bu, Google’ın mobil işletim sisteminin en son sürümünde ek güvenlik korumalarına borçludur.
Ne yazık ki, artık satıcı tarafından desteklenmeyen ve eski bir Galaxy mağaza versiyonuna yapışan tüm Samsung cihazları, NCC grup araştırmacıları tarafından keşfedilen iki güvenlik açıkına karşı savunmasızdır.
Samsung ve Google Fix Microsoft Intune Android 13 Kayıt Sorunu
POCUSS POPLISTS Popüler WordPress eklentilerinde kritik hatalar için yayınlandı
Darknet ilaç pazarları artan gizlilik için özel android uygulamalarına geçiyor
Bilgisayar korsanları PWN2OWN Toronto'da sömürülen 63 sıfır gün için 989.750 dolar kazanıyor
Bu sınırlı zaman anlaşmasında 170 doların altında bir yenileme Galaxy Note 9 alın
Kaynak: Bleeping Computer