NCC Group’tan araştırmacılar, 23 Kasım – 3 Aralık 2022 tarihleri arasında Galaxy App Store uygulamasında iki kusur tespit etti.
Samsung’un resmi uygulama mağazası Galaxy App Store’daki iki kusur, saldırganların kullanıcının bilgisi olmadan herhangi bir uygulama yüklemesine veya kullanıcıları kötü niyetli bir web sitesine yönlendirmesine izin verebilir.
Güvenlik Açıklarının Teknik Detayları
- Uygun olmayan erişim kontrolü, yerel saldırganların Galaxy App Store’dan uygulama yüklemesine izin verebilir (CVE-2023-21433)
Araştırmacılar, Galaxy App Store’un gelen niyetleri güvenli bir şekilde işlemeyen, dışa aktarılan bir etkinliğe sahip olduğunun keşfedildiğini söylüyor. Bu, aynı Samsung cihazında çalışan diğer uygulamaların Galaxy App Store’dan herhangi bir uygulamayı otomatik olarak yüklemesini sağlar.
NCC analistleri tarafından sağlanan kavram kanıtı (PoC), bir uygulama bileşenine belirtilen hedef uygulamayla uygulama mağazasına bir niyet göndererek “Pokemon Go” oyununu yüklemesini söyleyen bir “ADB” (Android Hata Ayıklama Köprüsü) komutudur. .
Bu durumda niyet, yeni yüklenen uygulamanın açılıp açılmayacağını da belirtebilir ve tehdit aktörlerine saldırının nasıl gerçekleştirileceği konusunda daha fazla seçenek sunar.
NCC, “Android 12 veya altı çalıştıran bir Samsung cihazında önceden yüklenmiş bir rouge uygulaması, şu anda Galaxy App Store’da bulunan herhangi bir uygulamayı yüklemek için bu sorunu kötüye kullanabilir”, diyor NCC.
Samsung, Android sürüm 12 veya altı (sürüm 4.5.49.8) çalıştıran cihazlar için Galaxy App Store’u yükseltti. Android 13 akıllı telefonlar bu sorundan etkilenmez.
- Hatalı giriş doğrulaması, yerel saldırganların bir web sayfası başlatarak JavaScript yürütmesine izin verebilir (CVE-2023-21434)
Galaxy App Store’daki bir web görünümünün, göz atabileceği URL’leri kısıtlayan bir filtre içerdiği keşfedildi. Ancak filtre, web görünümünün saldırganın kontrolündeki bir siteye gitmesine izin verecek şekilde yanlış ayarlanmıştı.
NCC, “Google Chrome’daki kötü amaçlı bir köprüye veya bir Samsung cihazında önceden yüklenmiş sahte bir uygulamaya dokunmak, Samsung’un URL filtresini atlayabilir ve saldırganın kontrolündeki bir etki alanına bir web görünümü başlatabilir” diye açıklıyor.
Çalışmada gösterilen kavram kanıtı (POC), Chrome’dan tıklandığında kötü amaçlı JavaScript içeren bir web sitesini açan ve onu hedef cihazda çalıştıran bir köprüden oluşur.
Bu durumda kötü amaçlı etki alanının “player.glb.samsung-gamelauncher.com” kısmı bu saldırı için tek gereksinimdir. Herhangi bir alan adı, bir saldırgan tarafından kaydedilebilir ve alt etki alanı olarak eklenebilir.
Galaxy App Store’un güncellenmiş bir sürümü Samsung tarafından kullanıma sunulmuştur (sürüm 4.5.49.8).
Kullanıcıların Galaxy App Store’a erişmeleri ve istenirse en son sürümü indirip yüklemeleri önerilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin