三星Galaxy Store Bug允许黑客在目标设备上秘密安装应用程序

三星设备的Galaxy Store应用程序中披露了一个现已修补的安全漏洞，可能会在受影响的手机上触发远程命令执行。

该漏洞影响Galaxy Store 4.5.32.4版，与处理某些深度链接时发生的跨站点脚本（XSS）错误有关。一名独立的安全研究人员被认为报告了这一问题。

“在这里，通过不安全地检查深度链接，当用户从包含深度链接的网站访问链接时，攻击者可以在Galaxy Store应用程序的webview上下文中执行JS代码，”SSD Secure Disclosure在上周发布的一份咨询中表示。

XSS攻击允许对手在从浏览器或其他应用程序访问网站时注入并执行恶意JavaScript代码。

Galaxy Store应用程序中发现的问题与三星的Marketing&内容服务（MCS），可能导致注入MCS网站的任意代码可能导致其执行。

然后，当访问链接时，可以利用这一点在三星设备上下载和安装带有恶意软件的应用程序。

研究人员指出：“为了能够成功利用受害者的服务器，有必要绕过HTTPS和CORS”。