À l’aide de scripts intersites, les pirates ont pu installer et exécuter une application malveillante sur les appareils Samsung sans se faire remarquer.
Une vulnérabilité dans le Galaxy Store de Samsung a permis aux attaquants d’installer et d’exécuter des applications malveillantes sur les smartphones du fabricant à l’aide de scripts intersites. Il suffisait d’un clic sur un lien manipulé.
Samsung Galaxy Store vulnérable aux scripts intersites
Un chercheur indépendant en sécurité a découvert une vulnérabilité dans le Galaxy Store de Samsung et l’a signalée à SSD Secure Disclosure. Cela a permis aux attaquants d’installer et de démarrer des applications sur des appareils tiers sans se faire remarquer. En conséquence, les pirates ont pu utiliser le cross-site scripting (XSS) pour exécuter du code malveillant sur les smartphones de leurs victimes sans nécessiter d’interaction supplémentaire de l’utilisateur localement sur le téléphone en plus de cliquer sur un lien.
La propre boutique d’applications de Samsung traite ce que l’on appelle des liens profonds, dont le site Web cible affiche l’application via une vue Web. Si un utilisateur ouvrait un tel lien, un attaquant pourrait exécuter du code JavaScript dans le contexte de la vue Web du Galaxy Store car, selon les chercheurs, aucun contrôle de sécurité n’a été effectué.
Cette exécution de code, inaperçue de l’utilisateur, permettait parfois aux attaquants de télécharger, d’installer et finalement d’exécuter des logiciels malveillants sur l’appareil Samsung. Cela a été rendu possible par la façon dont le magasin de Samsung a traité les liens profonds utilisés.
Certains paramètres d’URL ont ouvert la porte aux logiciels malveillants
En incluant certains paramètres d’URL dans un tel lien, le chercheur en sécurité a pu télécharger et exécuter une simple application de calculatrice. Selon le rapport, cependant, cela nécessite de contourner le partage de ressources cross-origin (CORS) de Chrome sur l’appareil cible. En plus de l’outil Ngrok, le chercheur a parfois utilisé un script Python qu’il a mis à disposition des intéressés.
La vulnérabilité qui a depuis été fermée par Samsung concernait la version 4.5.32.4 du Galaxy Store. Les smartphones concernés devraient déjà avoir reçu une mise à jour.
À la suite d’une attaque de pirates contre Samsung, dont nous avons fait état en mars, le code source des appareils Galaxy s’est retrouvé entre les mains des attaquants. À l’époque, les cybercriminels affirmaient avoir capturé plus de 190 gigaoctets de code confidentiel. Et même si Samsung ne s’attendait pas à l’époque à des effets négatifs sur son activité et ses clients, un tel incident de sécurité est bien sûr une bonne base pour trouver des vulnérabilités dans les logiciels de l’entreprise et les exploiter pour des attaques.