Dua kelemahan keamanan telah diungkapkan di aplikasi Samsung Galaxy Store untuk Android yang dapat dimanfaatkan oleh penyerang lokal untuk memasang aplikasi sewenang-wenang secara diam-diam atau mengarahkan calon korban ke halaman arahan penipuan di web.
Terlacak sebagai CVE-2023-21433 dan CVE-2023-21434, ditemukan oleh NCC Group dan diberitahukan ke chaebol Korea Selatan pada November dan Desember 2022. Bug tersebut sebagai risiko sedang dan merilis perbaikan dalam versi 4.5.49.8 dikirim awal bulan ini.
Kerentanan CVE-2023-21433 dapat memungkinkan aplikasi Android berbahaya yang terinstal pada perangkat Samsung untuk menginstal aplikasi apa pun yang tersedia di Galaxy Store.
Sementara kerentanan CVE-2023-21434, terkait dengan contoh validasi masukan yang tidak tepat yang terjadi saat membatasi daftar domain yang dapat diluncurkan sebagai WebView dari dalam aplikasi, memungkinkan pelaku ancaman untuk melewati filter dan menjelajah ke domain di bawah kendali mereka.
Pembaruan mendatang pada Januari 2023, Samsung akan memperbaiki beberapa kelemahan.
Selengkapnya: The Hacker News
