Samsung załatał dwie luki występujące w swoim sklepie z aplikacjami mobilnymi, które mogły umożliwić hakerom zainstalowanie dowolnej aplikacji na docelowym urządzeniu mobilnym bez wiedzy lub zgody właściciela urządzenia.
Badacze cyberbezpieczeństwa z NCC Group odkryli luki pod koniec grudnia 2022 roku i poinformowali o tym Samsunga, a firma wydała łatę (wersja 4.5.49.8) 1 stycznia 2023 roku. Teraz, prawie miesiąc po załataniu dziury, badacze opublikowali szczegóły techniczne oraz kod exploita proof-of-concept (PoC).
Pierwsza z nich, oznaczona jako CVE-2023-21433, to błąd w niewłaściwej kontroli dostępu, który może zostać wykorzystany do zainstalowania aplikacji na docelowym punkcie końcowym. Druga luka, oznaczona jako CVE-2023-21434, opisana jest jako niewłaściwa luka w walidacji danych wejściowych, która może zostać wykorzystana do wykonania złośliwego JavaScriptu na docelowym urządzeniu.
Podczas wykorzystywania obu luk wymagany jest lokalny dostęp, jednak dla wykwalifikowanych przestępców nie stanowi to problemu. Badacze zademonstrowali wykorzystanie luk, każąc aplikacji zainstalować Pokemon Go, popularną na całym świecie grę geolokalizacyjną opartą na świecie Pokemonów.
Wprawdzie Pokemon Go jest niewinną grą, ale błędy mogły zostać wykorzystane do bardziej złowrogich celów, potwierdzili badacze. W rzeczywistości cyber przestępcy mogli wykorzystać je do uzyskania dostępu do wrażliwych informacji lub rozbicia aplikacji mobilnych.
Koniecznie trzeba też wspomnieć, że urządzenia Samsunga pracujące pod kontrolą Androida 13 nie są narażone na lukę, nawet jeśli ich urządzenie nadal nosi starszą, podatną na atak wersję Galaxy Store. Wynika to z dodatkowych zabezpieczeń wprowadzonych w najnowszej wersji popularnego mobilnego OS-u. Jednak według danych AppBrain, zaledwie 7% wszystkich urządzeń z Androidem posiada najnowszą wersję systemu, a niewspierane wersje Androida (9.0 Pie i starsze) stanowią około 27% udziału w całym rynku Androida.
