Samsung ha reparado dos vulnerabilidades en su mercado de aplicaciones móviles que podrían haber permitido a los actores de amenazas instalar cualquier aplicación en un dispositivo móvil de destino sin el conocimiento o consentimiento del propietario del dispositivo.
Los investigadores de seguridad cibernética del Grupo NCC descubrieron las vulnerabilidades a fines de diciembre de 2022 y avisaron a Samsung, y la compañía emitió un parche (versión 4.5.49.8) el 1 de enero de 2023.
Ahora, casi un mes después de que se solucionó la falla, los investigadores publicaron detalles técnicos y un código de explotación de prueba de concepto (PoC).
Instalación de aplicaciones maliciosas
La primera falla se rastrea como CVE-2023-21433, una falla de control de acceso incorrecta que se puede usar para instalar aplicaciones en el punto final de destino. La segunda falla, rastreada como CVE-2023-21434, se describe como una vulnerabilidad de validación de entrada incorrecta, que puede usarse para ejecutar JavaScript malicioso en el dispositivo de destino.
Si bien se requiere acceso local para explotar ambas vulnerabilidades, para los delincuentes expertos eso no es un problema, se dijo. Los investigadores demostraron las fallas al hacer que la aplicación instalara Pokemon Go, un juego de geolocalización popular en todo el mundo basado en el mundo de Pokémon.
Si bien Pokemon Go es una aplicación benigna, las fallas podrían haberse usado para objetivos más siniestros, confirmaron los investigadores. De hecho, los actores de amenazas podrían haberlos utilizado para acceder a información confidencial. (se abre en una pestaña nueva) o bloquee las aplicaciones móviles.
También debe mencionarse que los dispositivos Samsung que ejecutan Android 13 no son vulnerables a la falla, incluso si su dispositivo aún tiene una versión anterior y vulnerable de Galaxy Store.
Esto se debe a las medidas de seguridad adicionales introducidas en la última versión del popular sistema operativo móvil.
Sin embargo, según las cifras de AppBrain, solo el 7 % de todos los dispositivos Android cuentan con la última versión, mientras que las versiones no compatibles de Android (9.0 Pie y anteriores) representan aproximadamente el 27 % de la cuota de mercado total de Android.
Vía: BleepingComputer (se abre en una pestaña nueva)