L'application Galaxy Store pour les appareils Samsung présentait une vulnérabilité qui a été corrigée et qui pouvait potentiellement entraîner l'exécution de commandes à distance sur les téléphones vulnérables.

La faille XSS (cross-site scripting), qui affecte la version 4.5.32.4 du Galaxy Store, est liée à la manière dont certains liens profonds sont traités. Le problème a été signalé pour la première fois par un chercheur en sécurité indépendant.

Dans un avertissement publié par SSD Secure Disclosure, il est indiqué que l'attaquant pourrait exécuter du code JS dans le contexte webview de l'application Galaxy Store en ne validant pas le lien profond de manière sûre.

Ce type d’attaques permet à un adversaire d'injecter et d'exécuter du code JavaScript malveillant lorsqu'il visite un site Web à partir d'un navigateur ou d'une autre application.

Le problème identifié dans l'application Galaxy Store concerne la façon dont les liens profonds sont configurés pour le service de marketing et de contenu (MCS) de Samsung, ce qui pourrait conduire à un scénario dans lequel un code arbitraire injecté dans le site Web MCS pourrait conduire à son exécution.

Ce code pourrait ensuite être exploité pour télécharger et installer des applications malveillantes sur l'appareil Samsung lors de la visite du lien.

Les chercheurs ont déclaré que Chrome doit contourner HTTPS et CORS pour pouvoir exploiter avec succès le serveur de la victime.

Avant de cliquer sur n'importe quel lien, il est nécessaire de vérifier sa fiabilité, afin d'éviter tout risque potentiel.