(資料圖)

IT之家 1 月 21 日消息，NCC Group 研究人員發現三星官方應用商城存在兩個 CVE 漏洞。攻擊者可以利用這兩個漏洞在用戶不知情的情況下安裝任意應用程序，或者引導受害者到惡意 Web 地址。

NCC Group 研究人員在 2022 年 11 月 23 日至 12 月 3 日期間發現了這兩個漏洞，三星在 Galaxy Store 4.5.49.8 版本中已經修復。NCC Group 的研究人員 Mishaal Rahman 今天披露了這兩個漏洞。

IT之家了解到，已經升級到安卓 13 / OneUI 5.0 的三星設備并不受影響，運行安卓 12 及更低版本的三星設備在升級到新版本之后可以不受影響。

NCC Group 發現 Galaxy App Store 中的一個 webview 包含一個過濾器，該過濾器限制了 webview 可以瀏覽的域。不管開發人員沒有正確配置它，這將允許 webview 瀏覽到攻擊者控制的域。

關鍵詞： 安全漏洞