Dos vulnerabilidades en Galaxy App Store, el repositorio oficial de Samsung para sus dispositivos, podrían permitir a los atacantes instalar cualquier aplicación en Galaxy Store sin el conocimiento del usuario o dirigir a las víctimas a una ubicación web maliciosa.
Los problemas fueron descubiertos por investigadores del Grupo NCC entre el 23 de noviembre y el 3 de diciembre de 2022.
El fabricante coreano de teléfonos inteligentes anunció el 1 de enero de 2023 que solucionó las dos fallas y lanzó una nueva versión para Galaxy App Store (4.5.49.8).
NCC Group publicó los detalles técnicos de los dos problemas de seguridad, junto con el código de explotación de prueba de concepto (PoC) para cada uno de ellos.
Cabe señalar que ambos ataques requieren acceso local, una hazaña fácil para los piratas informáticos motivados y los distribuidores de malware que tienen como objetivo los dispositivos móviles.
Forzar la instalación de aplicaciones en Android
La primera de las dos fallas se rastrea como CVE-2023-21433 y es un control de acceso inadecuado que permite a los atacantes instalar cualquier aplicación disponible en Galaxy App Store.
NCC descubrió que Galaxy App Store no maneja las intenciones entrantes de manera segura, lo que permite que las aplicaciones en el dispositivo envíen solicitudes de instalación de aplicaciones arbitrarias.
El PoC compartido por los analistas de NCC es un comando ‘ADB’ (Android Debug Bridge) que le indica a un componente de la aplicación que instale el juego «Pokemon Go» enviando una intención con la aplicación de destino especificada a la tienda de aplicaciones.
La intención también puede especificar si la nueva aplicación debe abrirse o no después de su instalación, lo que brinda a los actores de amenazas más opciones sobre cómo realizar el ataque.
La segunda vulnerabilidad es CVE-2023-21434, es una validación de entrada incorrecta que permite a los atacantes ejecutar JavaScript en el dispositivo de destino.
Los investigadores de NCC descubrieron que las vistas web en Galaxy App Store contienen un filtro que limita los dominios en los que se pueden mostrar. Sin embargo, ese filtro no está configurado correctamente y se puede omitir para obligar a la vista web a acceder a dominios maliciosos.
El PoC presentado en el informe es un hipervínculo que, si se hace clic en Chrome, abrirá una página que contiene JavaScript malicioso y lo ejecutará en el dispositivo.
NCC explica que el único requisito previo para este ataque es que el dominio malicioso tenga la parte «player.glb.samsung-gamelauncher.com». Un atacante puede registrar cualquier dominio y agregar esa parte como un subdominio.
Impacto en los usuarios de Samsung
Ejecutar código JavaScript arbitrario en vistas web desde aplicaciones con privilegios del sistema como Galaxy Store puede tener graves repercusiones en la seguridad.
Dependiendo de los motivos del atacante, el ataque puede provocar la interacción de la interfaz de usuario de la aplicación, el acceso a información confidencial o el bloqueo de aplicaciones.
La instalación y el lanzamiento automático de aplicaciones desde Galaxy Store sin el conocimiento del usuario también pueden generar violaciones de datos o privacidad, especialmente si el atacante carga una aplicación maliciosa en Galaxy Store de antemano.
Es importante tener en cuenta que CVE-2023-21433 no se puede explotar en dispositivos Samsung con Android 13, incluso si usan una versión anterior y vulnerable de Galaxy Store. Esto se debe a protecciones de seguridad adicionales en la última versión del sistema operativo móvil de Google.
Desafortunadamente, todos los dispositivos Samsung que ya no son compatibles con el proveedor y que permanecen atascados en una versión anterior de Galaxy Store son vulnerables a las dos vulnerabilidades descubiertas por los investigadores de NCC Group.
Fuente: https://www.bleepingcomputer.com
