三星应用商店漏洞可安装恶意软件

admin 2022年11月3日18:42:58安全新闻评论32 views2295字阅读7分39秒阅读模式

三星应用商店漏洞可安装恶意软件

三星应用商店漏洞可安装恶意软件。

研究人员在三星应用商店Galaxy Store中发现了一个安全漏洞,攻击者利用该漏洞可以通过XSS来让应用试点安装或启动应用,即远程攻击者可以在受害者手机上触发远程命令执行。

深度链接(Deeplink)是指可以通过其他应用或浏览器调用,比如在微信或QQ上接收到好友分享的网页。三星应用商店Galaxy Store中,也有deeplink。当应用商店接收到适当的deeplink后就会处理,然后通过webview来展示。如果不检查deeplink的安全性,当用户访问含有deeplink的链接时,攻击者就可以在应用商店的webview环境下执行JS代码。

三星应用商店漏洞可安装恶意软件
技术分析

有安全研究人员在三星应用商店Galaxy Store中发现了一个deeplink相关的安全漏洞,漏洞影响Galaxy Store v 4.5.32.4版本。

在访问三星的MCS Direct Page页面https://us.mcsvc.samsung.com/mcp25/devops/redirect.html 时,会显示如下信息:

三星应用商店漏洞可安装恶意软件

如果有Galaxy Store app,就会发现需要2个参数:mcs_ru 和 testMode。有参数的情况下访问MCS 站点的结果如下:

三星应用商店漏洞可安装恶意软件

可以看到其中包含了发送给三星应用处理的intent内容,比如三星支付、Bixby、Samsungapp、Gamelauncher等。

以发送给Samsungapp的deeplink为例:

samsungapps://MCSLaunch?action=each_event&url={{url}}

该deeplink发送后,Galaxy Store的处理流程如下:

App 通过字符串samsungapps检查deeplink;

如果其中有字符串MCSLaunch,APP就会进入MCS Webview处理;

最后取出URL参数,并在Webview.loadurl 中加载。

SamSung MCS Direct Page网站会分析URL的参数,并展示在网站上,但并不会编码,因此可能引发XSS错误:

三星应用商店漏洞可安装恶意软件

PoC如下所示:

https://us.mcsvc.samsung.com/mcp25/devops/redirect.html?mcs_ru=a&testMode=1&%22id=%22%3Ca%20id%3d%22%3E%3Csvg/onload%3dalert(1)%3E%22%3E

将该代码与Galaxy Store相结合。Deeplink处理流程和在webview中的展示如下所示:

webSettings.setJavaScriptEnabled(true); // 允许JS执行webSettings.setJavaScriptCanOpenWindowsAutomatically(true);WebView webView = this.c;webView.addJavascriptInterface(new McsWebBridge(this, webView, new McsWebBridgeProvider()), "McsBridge");WebView webView2 = this.c;webView2.addJavascriptInterface(new McsWebBridge(this, webView2, new GmpWebBridgeProvider()), "GmpBridge");this.l = new EditorialScriptInterface(this, this.c);this.c.addJavascriptInterface(this.l, "GalaxyStore"); //添加JS接口,使得JS可以调用Java类中的函数

EditorialScriptInterface类的内容如下:

Class EditorialScriptInterface:@JavascriptInterfacepublic void downloadApp(String str){...}@JavascriptInterfacepublic void openApp(String str) {...}

其中有2个函数downloadApp 和 openApp可以获得APP id,并从应用商店下载或打开。因此,可以用JS代码来调用这两个函数,PoC代码如下所示:

window.GalaxyStore.openApp("com.sec.android.app.popupcalculator"); //打开app计算器window.GalaxyStore.downloadApp("com.sec.android.app.popupcalculator");// 下载计算器app

网站PoC代码如下:

             1 click

文件open.js会打开计算器APP。

文件down_and_open.js会下载然后打开计算器APP。

为成功利用受害者的服务器,需要首先让Chrome的CORS。

三星应用商店漏洞可安装恶意软件
漏洞响应

目前,三星已经发布了补丁修复了该漏洞。

漏洞利用代码参见:https://ssd-disclosure.com/ssd-advisory-galaxy-store-applications-installation-launching-without-user-interaction/

参考及来源:https://thehackernews.com/2022/10/samsung-galaxy-store-bug-couldve-let.html

三星应用商店漏洞可安装恶意软件

三星应用商店漏洞可安装恶意软件

原文始发于微信公众号(嘶吼专业版):三星应用商店漏洞可安装恶意软件

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月3日18:42:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  三星应用商店漏洞可安装恶意软件 http://cn-sec.com/archives/1388188.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: