三星：Galaxy Store存在两个严重缺陷，请尽快安装更新

三星 Galaxy 智能手机上 Galaxy Store 的用户请注意，强烈建议从制造商的应用程序商店安装最新更新。事实上，计算机安全研究人员在该应用程序中发现了两个关键的安全漏洞。解释。

如果您经常使用银河商店所有三星智能手机均预装在线商店，强烈建议安装最新的应用程序更新。事实上，来自专业公司的计算机安全研究人员NCC集团已经发现Galaxy Store 中存在两个严重的安全漏洞。

编号为 CVE-2023-21433，第一个漏洞允许本地攻击者从商店安装应用程序在您的智能手机上，当然，这一切都是在您不知情的情况下进行的。指定您的设备上预装的恶意应用程序可用于利用此漏洞。

至于第二个，注册号为 CVE-2023-21434，一旦被利用，它所允许的内容如下：“不正确的输入验证可能允许本地攻击者在启动网页时执行 JavaScript。”

NCC Group 专家表示，该漏洞是由 Galaxy Store 中的 WebView 配置错误引起的。提醒一下，Android System WebView 是官方的 Google 应用程序，它允许您在应用程序中打开网络浏览器。具体来说，攻击者可以绕过 Galaxy Store WebView 的常见限制并设置重定向到他控制的域。

“攻击者可以通过让受害者点击 Google Chrome 中的恶意超链接或通过其 Galaxy 设备上预装的恶意应用程序来绕过三星的 URL 过滤器。然后他们可以在启动网页时执行 JavaScript。”NCC 集团解释道。

三星很快解决了问题

研究人员在 2022 年 11 月 23 日至 12 月 3 日期间强调了 Galaxy Store 中的这些漏洞。目前，NCC Group 已确认该应用程序的 4.5.44.1 和 4.5.48.3 版本受到影响。不过，他指出其他版本可能会受到影响。三星已获悉该问题，幸运的是，该公司在 NCC Group 报告传输后两周内通过为 Galaxy Store 部署更新 4.5.49.8 纠正了这些漏洞。

最后澄清，研究人员确认，推出的新安全措施安卓13防止利用第一个缺陷。然而，第二次情况并非如此。因此，绝对有必要从 Galaxy Store 下载最新更新。提醒一下，2021 年 12 月，Galaxy Store 因提供危险应用程序下载而被点名。