三星 Galaxy Store存在漏洞，黑客可在目标设备安装APP

据外媒网站报道，三星Galaxy Store存在一个严重漏洞，主要影响 Galaxy Store 4.5.32.4 版本。该漏洞可能会触发受影响手机上的远程命令执行，从而使黑客可在三星设备上下载和安装带有恶意软件的应用程序。

据了解，一名独立安全研究员发现了该漏洞并立刻上报，该漏洞与处理某些深度链接时出现的跨站脚本（XSS）漏洞有关，主要影响Galaxy Store 4.5.32.4 版本。

Disclosure 在上周发布的公告中表示，由于没有安全检查深层链接，当用户从包含深层链接的网站访问链接时，攻击者可以在 Galaxy Store 应用程序的 webview 上下文中执行 JS 代码。

XSS 攻击可导致攻击者通过浏览器或其它应用访问网站时，注入并执行恶意JavaScript 代码。

Galaxy Store 应用程序中出现的安全漏洞与三星的营销和内容服务（MCS）深层链接配置方式有关，这可能导致向 MCS 网站注入并执行任意代码。

然后，当用户访问该链接时，可能被用来在三星设备上下载和安装带有恶意软件的应用程序。此外，研究人员指出，为了能够成功利用受害者的服务器，攻击者有必要使用HTTPS和CORS绕过chrome。

三星Galaxy Store的这个漏洞，势必会对广大用户造成影响。不管是什么漏洞，用户要都及时升级更新最新版本，防止不法分子利用漏洞进行攻击。