NCC Group ha pubblicato i dettagli tecnici e un exploit per ciascuna delle due vulnerabilità identificate del Samsung Galaxy App Store. Entrambi i bug nel repository ufficiale Samsung potrebbero consentire agli aggressori di installare qualsiasi app sul Galaxy Store all’insaputa dell’utente o indirizzare le vittime a un sito Web dannoso.
Indice degli argomenti
Vulnerabilità sul Samsung App Store
I problemi di sicurezza sono stati scoperti tra il 23 novembre e il 3 dicembre 2022, ma già il primo gennaio 2023 il produttore coreano ha annunciato che i bug erano stati corretti rilasciando una nuova versione per il Galaxy App Store (4.5.49.8).
Va notato che gli attacchi per le vulnerabilità scoperte richiedono l’accesso locale, il che non è un compito difficile, soprattutto per gli attori finanziariamente motivati che prendono di mira i dispositivi mobili.
La prima delle due vulnerabilità è stata tracciata come CVE-2023-21433 ed è correlata a problemi di controllo degli accessi che consentono agli aggressori di installare qualsiasi applicazione disponibile sul Galaxy App Store.
L’NCC Group ha scoperto che il Galaxy App Store consente alle app sul dispositivo di inviare richieste di installazione di app arbitrarie senza che vengano elaborate in modo sicuro.
Il PoC (Proof of Concept) condiviso dagli analisti NCC è un comando Android Debug Bridge che indica a un componente dell’app di installare un gioco Pokemon Go effettuando una chiamata con l’app di destinazione specificata all’app store. Può anche impostare se aprire una nuova applicazione dopo l’installazione.
JavaScript remoto sugli smartphone Samsung
La seconda vulnerabilità CVE-2023-21434 è una convalida dell’input non valida che consente agli aggressori di eseguire JavaScript sul dispositivo di destinazione.
I ricercatori di NCC hanno scoperto che le visualizzazioni Web sul Galaxy App Store contengono un filtro che limita determinati domini. Tuttavia, non è configurato correttamente e consente l’accesso a domini dannosi.
Il PoC qui presentato consiste in un collegamento ipertestuale che, se cliccato da Chrome, apre una pagina contenente JavaScript dannoso ed esegue il codice sul dispositivo.
I ricercatori spiegano che l’unica condizione per questo attacco è la presenza della parte di codice dannoso di “player.glb.samsung-gamelauncher.com” nel dominio. Un utente malintenzionato può registrare qualsiasi dominio e aggiungere quella parte come sottodominio, per sfruttare il bug.
A seconda delle motivazioni che possono guidare l’aggressore, un attacco può comportare l’interazione con l’interfaccia utente dell’applicazione, l’accesso a informazioni riservate o l’arresto anomalo dell’applicazione.
L’installazione e l’avvio automatico delle applicazioni dal Galaxy Store all’insaputa dell’utente può portare a una violazione dei dati e della privacy, soprattutto se viene utilizzata un’applicazione dannosa precaricata.
È importante notare anche che la vulnerabilità CVE-2023-21433 non può essere utilizzata su dispositivi Samsung che eseguono Android 13, anche se eseguono una versione precedente e vulnerabile del Galaxy Store.
Mentre invece il vero problema sono tutti i dispositivi Samsung che non sono più supportati dal fornitore e rimangono quindi legati a una versione precedente del Galaxy Store, stando sempre vulnerabili ai due bug che sono stati scoperti. Tutti gli altri dispositivi che supportano la versione 4.5.49.8 del Galaxy Store invece, sono invitati sicuramente ad aggiornare il prima possibile.
