Deux failles de sécurité ont été révélées dans l’application Galaxy Store de Samsung pour Android qui pourraient être exploitées par un attaquant local pour installer furtivement des applications arbitraires ou diriger des victimes potentielles vers des pages de destination frauduleuses sur le Web.

Les problèmes, suivis comme CVE-2023-21433 et CVE-2023-21434, ont été découverts par NCC Group et notifiés au chaebol sud-coréen en novembre et décembre 2022. Samsung a classé les bogues comme à risque modéré et a publié des correctifs dans la version 4.5.49.8. expédié plus tôt ce mois-ci.

Samsung Galaxy Store, anciennement connu sous le nom de Samsung Apps et Galaxy Apps, est une boutique d’applications dédiée utilisée pour les appareils Android fabriqués par Samsung. Il a été lancé en septembre 2009.

La première des deux vulnérabilités est CVE-2023-21433, qui pourrait permettre à une application Android malveillante déjà installée sur un appareil Samsung d’installer n’importe quelle application disponible sur le Galaxy Store.

Samsung l’a décrit comme un cas de contrôle d’accès inapproprié qui, selon lui, a été corrigé avec les autorisations appropriées pour empêcher tout accès non autorisé.

Il convient de noter ici que la lacune n’affecte que les appareils Samsung qui exécutent Android 12 et avant, et n’affecte pas ceux qui sont sur la dernière version (Android 13).

La deuxième vulnérabilité, CVE-2023-21434, concerne une instance de validation d’entrée incorrecte se produisant lors de la limitation de la liste des domaines pouvant être lancés en tant que WebView depuis l’application, permettant ainsi à un acteur malveillant de contourner le filtre et de naviguer vers un domaine sous leur contrôle.

« Appuyer sur un lien hypertexte malveillant dans Google Chrome ou sur une application malveillante préinstallée sur un appareil Samsung peut contourner le filtre d’URL de Samsung et lancer une vue Web vers un domaine contrôlé par un attaquant », a déclaré Ken Gannon, chercheur au NCC Group.

La mise à jour intervient alors que Samsung a déployé des mises à jour de sécurité pour le mois de janvier 2023 afin de remédier à plusieurs failles, dont certaines pourraient être exploitées pour modifier les paramètres du réseau de l’opérateur, contrôler la publicité BLE sans autorisation et réaliser une exécution de code arbitraire.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *