Nuevos detalles sobre los dos exploits que afectaron a la Galaxy Store el mes pasado

No es ni la primera, ni será la última vez que se detecte malware en la Galaxy Store de Samsung. Confieso que es la parte que menos me gusta de la experiencia Galaxy. Está bastante descuidada la tienda, no hay una política que obligue a los desarrolladores a publicar las notas de cambios de sus actualizaciones, y faltan muchas, pero muchas apps.

Volviendo al tema del malware, el pasado año se encontraron dos nuevas vulnerabilidades que afectaban a la tienda de la compañía surcoreana. Aunque el 1 de enero de 2023 Samsung liberó el parche 4.5.49.8 para su tienda que las corregía, no es hasta hoy que tenemos nuevos datos sobre como funcionaban y afectaban al usuario.

Si no actualizaste a la versión 4.5.49.8, es momento de hacerlo

La primera de ellas tiene como nombre CVE-2023-21433, y básicamente es un error en el controlador que instala aplicaciones desde la tienda y que permite a los atacantes instalar cualquier app haciéndola como una nativa descargada de la Galaxy Store. El equipo de NCC Group, probó con éxito la instalación remota del APK Pokemon GO usando ADB. Un punto que realmente asusta, es que con este método, los atacantes podían instalar apps sin que salte el popup para que dicha aplicación se inicie tras la instalación, lo que hacía que de alguna manera fueran menos visibles.

La segunda es la vulnerabilidad CVE-2023-21434, que permite la ejecución de código JavaScript en un dispositivo Galaxy. Las vistas web a la Galaxy Store contienen un filtro que limita los dominios en los que se puede mostrar la tienda. Sin embargo, ese filtro no está configurado correctamente y se puede omitir para forzar a la vista web y acceder a dominios maliciosos. Los atacantes podían ejecutar código malicioso apuntando a un dominio que contenga esta parte: “player.glb.samsung-gamelauncher.com”.