mar. Fév 7th, 2023

Des applications inconnues apparaissent soudainement sur votre smartphone ? Ils pourraient provenir du Samsung Galaxy Store. Les appareils plus anciens restent vulnérables

Des chercheurs en sécurité ont publié un rapport détaillé sur l’exploitation de deux vulnérabilités dans le Samsung Galaxy Store. Ceux-ci permettent aux attaquants d’installer n’importe quelle application sur des smartphones tiers et d’y ouvrir des sites Web malveillants. Une mise à jour est déjà disponible. Cependant, les appareils plus anciens resteront probablement vulnérables en permanence.

Deux vulnérabilités dans le Samsung Galaxy Store aux conséquences considérables

Les chercheurs du groupe NCC ont découvert deux nouvelles vulnérabilités dans le Galaxy Store de Samsung à la fin de l’année dernière. L’un d’eux permet aux attaquants d’installer n’importe quelle application sur l’appareil de quelqu’un d’autre sans que le propriétaire ne s’en aperçoive. La deuxième vulnérabilité leur permet de rediriger leurs victimes vers des sites Web trompeurs afin d’exécuter du code JavaScript malveillant.

Le fabricant de smartphones a comblé les deux failles de sécurité avec une mise à jour le 1er janvier 2023. Cependant, tous les utilisateurs ne pourront pas profiter de la version 4.5.49.8 (ou plus récente) corrigée du bogue du Samsung Galaxy Store. En particulier, les appareils plus anciens qui ne reçoivent plus aucun support restent vulnérables.

Néanmoins, le groupe NCC a publié hier un rapport contenant des détails techniques sur les deux vulnérabilités. Une preuve de concept pour leur exploitation est également incluse.

Installez et exécutez n’importe quelle application du Samsung Galaxy Store

La première vulnérabilité, CVE-2023-21433, permet aux attaquants d’envoyer toutes les demandes d’installation d’applications au Galaxy Store de Samsung via ce que l’on appelle des intentions. À des fins de démonstration, les chercheurs ont installé le jeu populaire « Pokémon Go” via la commande ADB suivante :

am start -n com.sec.android.app.samsungapps/.detail.alleypopup.AlleyDetailActivity --es GUID com.nianticlabs.pokemongo.ares --ez directInstall true --ez directOpen true

Le dernier paramètre oblige le système à ouvrir l’application juste après l’installation. Dans le cas d’une application malveillante, cela peut avoir des effets considérables et donner aux attaquants un accès supplémentaire.

Voir aussi  Googerteller : Sur la piste de la pieuvre des données

Webview peut être redirigé vers des sites Web infectés

La deuxième vulnérabilité, CVE-2023-21434, concerne un filtre dans la vue Web du Samsung Galaxy Store, qui est censé garantir que n’importe quel domaine ne peut pas y être ouvert. Cependant, en raison d’une mauvaise configuration, les chercheurs en sécurité ont pu contourner cette barrière avec l’exemple de code suivant :

<h1>
  <a id="yayidyay" rel="noreferrer" href="intent://cloudgame/monitor?monitoringHost=<host>#Intent;action=android.intent.action.VIEW;package=com.sec.android.app.samsungapps;scheme=normalbetasamsungapps;S.android%2eintent%2eextra%2eREFERRER_NAME=http://com.sec.android.app.samsungapps;end"> YAYPOCYAY</a>
</h1>

Selon le rapport du groupe NCC, il est important que le« domaine cible à utiliser la chaîne de caractères »player.glb.samsung-gamelauncher.com » inclus. Cependant, il suffit aux attaquants d’enregistrer n’importe quel domaine et d’ajouter simplement la chaîne spécifiée en tant que sous-domaine. Cela permet à la vue Web de l’application d’être dirigée vers un site Web infecté par du JavaScript malveillant.

Android 13 offre une protection supplémentaire

Les deux scénarios d’attaque offrent aux cybercriminels de vastes possibilités de prendre le contrôle des smartphones tiers. Le fait que le Galaxy Store soit livré avec des privilèges système sur les appareils Samsung ajoute d’autres implications sérieuses en matière de sécurité.

Les utilisateurs équipés d’Android 13 sont dès la première vulnérabilité Pas affecté. En raison de précautions de sécurité supplémentaires dans la dernière version du système d’exploitation de Google, la vulnérabilité ne peut pas être exploitée même avec un ancien Galaxy Store.