Samsung a corrigé deux vulnérabilités sur son marché d’applications mobiles qui auraient pu permettre aux pirates d’installer n’importe quelle application sur un appareil mobile cible à l’insu du propriétaire de l’appareil ou sans son consentement.
Les chercheurs en cybersécurité du groupe NCC ont découvert les vulnérabilités fin décembre 2022 et ont averti Samsung, la société publiant un correctif (version 4.5.49.8) le 1er janvier 2023.
Aujourd’hui, près d’un mois après la résolution de la faille, les chercheurs ont publié des détails techniques et un code d’exploitation de preuve de concept (PoC).
Installation d’applications malveillantes
La première faille est identifiée comme CVE-2023-21433, une faille de contrôle d’accès inappropriée qui peut être utilisée pour installer des applications sur le terminal cible. La deuxième faille, identifiée comme CVE-2023-21434, est décrite comme une vulnérabilité de validation d’entrée incorrecte, qui peut être utilisée pour exécuter du JavaScript malveillant sur l’appareil ciblé.
Alors que l’accès local est nécessaire pour exploiter les deux vulnérabilités, pour les criminels qualifiés, ce n’est pas un problème, a-t-on dit. Les chercheurs ont démontré les failles en demandant à l’application d’installer Pokemon Go, un jeu de géolocalisation mondialement populaire basé sur le monde de Pokemon.
Bien que Pokemon Go soit une application bénigne, les défauts auraient pu être utilisés à des fins plus sinistres, ont confirmé les chercheurs. En fait, les acteurs de la menace auraient pu les utiliser pour accéder information sensible (s’ouvre dans un nouvel onglet) ou planter des applications mobiles.
Il convient également de mentionner que les appareils Samsung exécutant Android 13 ne sont pas vulnérables à la faille, même si leur appareil porte toujours une version plus ancienne et vulnérable du Galaxy Store.
Cela est dû aux mesures de sécurité supplémentaires introduites dans la dernière version du système d’exploitation mobile populaire.
Cependant, selon les chiffres d’AppBrain, seuls 7 % de tous les appareils Android sont équipés de la dernière version, tandis que les versions non prises en charge d’Android (9.0 Pie et versions antérieures) représentent environ 27 % de la part de marché totale d’Android.
Via: BipOrdinateur (s’ouvre dans un nouvel onglet)