NCC集團(tuán)研究人員在三星官方應(yīng)用商城發(fā)現(xiàn)了兩個CVE漏洞攻擊者可以利用這兩個漏洞在用戶不知情的情況下安裝任意應(yīng)用，或?qū)⑹芎φ咭龑?dǎo)至惡意網(wǎng)址

NCC集團(tuán)的研究人員在2022年11月23日至12月3日發(fā)現(xiàn)了這兩個漏洞，三星已經(jīng)在4.5.49.8版本的Galaxy Store中修復(fù)了它們NCC集團(tuán)研究員米沙·拉赫曼今天披露了這兩個漏洞

本站了解到，已經(jīng)升級到Android 13/OneUI 5.0的三星設(shè)備不受影響，運(yùn)行Android 12及更低版本的三星設(shè)備升級到新版本后也可以不受影響。

NCC集團(tuán)發(fā)現(xiàn)Galaxy應(yīng)用商店中的一個webview包含一個過濾器，該過濾器限制了webview可以瀏覽的域這將允許webview瀏覽到攻擊者控制的域，而不管開發(fā)人員是否正確配置了該域