《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 三星用戶注意,黑客可能在你手機(jī)上悄悄裝APP

三星用戶注意,,黑客可能在你手機(jī)上悄悄裝APP

2022-11-04
來源:FreeBuf
關(guān)鍵詞: 三星 APP 黑客

  The Hacker News 網(wǎng)站披露,,三星 Galaxy Store 中披露一個(gè)現(xiàn)已修復(fù)的安全漏洞,該漏洞可能會(huì)觸發(fā)受影響手機(jī)上的遠(yuǎn)程命令執(zhí)行,。

  微信圖片_20221104212326.jpg

  據(jù)悉,,該漏洞由一名獨(dú)立安全研究員發(fā)現(xiàn)并上報(bào),主要影響 Galaxy Store 4.5.32.4 版本,,與處理某些深度鏈接時(shí)出現(xiàn)的跨站腳本(XSS)漏洞有關(guān),。

  上周,Disclosure 在公告中表示,,由于沒有安全檢查深層鏈接,,當(dāng)用戶從包含深層鏈接的網(wǎng)站訪問鏈接時(shí),攻擊者可以在 Galaxy Store 應(yīng)用程序的 webview 上下文中執(zhí)行 JS 代碼。

  微信圖片_20221104212328.jpg

  XSS 攻擊允許攻擊者在從瀏覽器或其他應(yīng)用程序訪問網(wǎng)站時(shí)注入和執(zhí)行惡意的 JavaScript 代碼,。

  Galaxy Store 應(yīng)用程序中出現(xiàn)的安全漏洞與三星的營(yíng)銷和內(nèi)容服務(wù)(MCS)深層鏈接配置方式有關(guān),,這可能導(dǎo)致向 MCS 網(wǎng)站注入并執(zhí)行任意代碼。

  之后,,當(dāng)用戶訪問該鏈接時(shí),,可能被用來在三星設(shè)備上下載和安裝帶有惡意軟件的應(yīng)用程序。另外,,研究人員指出,,為了能夠成功利用受害者的服務(wù)器,攻擊者有必要對(duì) chrome 進(jìn)行 HTTPS 和 CORS 繞過,。


更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]