NCC Group 研究人员发现三星官方应用商城存在两个 CVE 漏洞。攻击者可以利用这两个漏洞在用户不知情的情况下安装任意应用程序，或者引导受害者到恶意 Web 地址。

NCC Group 研究人员在 2022 年 11 月 23 日至 12 月 3 日期间发现了这两个漏洞，三星在 Galaxy Store 4.5.49.8 版本中已经修复。NCC Group 的研究人员 Mishaal Rahman 今天披露了这两个漏洞。

IT之家了解到，已经升级到安卓 13 / OneUI 5.0 的三星设备并不受影响，运行安卓 12 及更低版本的三星设备在升级到新版本之后可以不受影响。

NCC Group 发现 Galaxy App Store 中的一个 webview 包含一个过滤器，该过滤器限制了 webview 可以浏览的域。不管开发人员没有正确配置它，这将允许 webview 浏览到攻击者控制的域。

本文转载自IT之家。本站转载此文目的在于传递更多信息，并不代表赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本网联系，我们将在第一时间删除内容，本网站对此声明具有最终解释权。