به گزارش مجله خبری نگار/تکناک: این آسیبپذیریهای شناسایی شده بین ۲۳ نوامبر و ۳ دسامبر ۲۰۲۲ به مهاجم بدون اطلاع کاربر اجازه نصب هر برنامهای از Galaxy Store را میداد.
به این نقص شماره آسیب پذیری و خطر مشترک CVE-۲۰۲۳-۲۱۴۳۳ اختصاص داده شده است. با دادن یک شماره CVE به هر آسیبپذیری، امکان ردیابی آن برای محققان فراهم میشود و گوگل هنگام اصلاح آنها در بهروزرسانیهای ماهانه اندروید، به این اعداد اشاره میکند. دومین نقص CVE-۲۰۲۳-۲۱۴۳۴ بود و به مهاجمان اجازه اجرا جاوا اسکریپت روی گوشی گلکسی را میداد.
طبق این گزارش بسته به هدف مهاجم، یک حمله با سوء استفاده از آسیبپذیریها میتواند به آنها اجازه دسترسی به دادههای شخصی کاربر را بدهد و همچنین منجر به از کار افتادن برنامهها شود. اگر مهاجم قبل از سوء استفاده از نقص ها، یک برنامه مخرب را در Galaxy Store آپلود کند، میتواند بدون اطلاع مالک آن برنامه را روی گوشی هوشمند گلکسی نصب کند و منجر به ایجاد مشکلات امنیتی جدی شود.
پس از شروع حمله، کاربر با کلیک بر روی یک هایپرلینک مخرب ظاهرشده در مرورگر گوگل کروم (با استفاده از تلفن گلکسی سامسونگ)، یا نصب یک برنامه نامطلوب روی گوشی گلکسی امکان عبور مهاجمان از فیلتر URL Sammy را فراهم میکند و یک نمای وب به دامنه کنترلشونده توسط مهاجمان ارائه میدهد.
به گزارش NCC: ” Galaxy Store شامل یک فعالیت صدور اطلاعات با عدم مدیریت امن موارد ورودی میشود. این عدم امنیت به سایر برنامههای نصب شده در همان دستگاه سامسونگ اجازه نصب خودکار هر برنامه موجود دیگر در Galaxy Store بدون اطلاع کاربر را میدهد. این گزارش همچنین میگوید: یک برنامه از پیش نصبشده نامطلوب روی دستگاه سامسونگ با اندروید ۱۲ یا پایینتر میتواند از این مشکل برای نصب هر برنامهی موجود در Galaxy Store سوء استفاده کند.
از نقص CVE-۲۰۲۳-۲۱۴۳۳ به دلیل ساختار ویژگیهای امنیتی آخرین سیستم عامل موبایل گوگل، نمیتوان در گوشیهای سامسونگ دارای اندروید ۱۳ سوء استفاده کرد. علاوه بر این، در اولین روز سال ۲۰۲۳، سامسونگ اصلاح این دو آسیب پذیری را اعلام و نسخه ۴.۵.۴۹.۸ Galaxy Store را منتشر کرد.
از اجرای آخرین نسخه Galaxy Store روی گوشی گلکسی خود، حتی با وجود اندروید ۱۳، اطمینان حاصل کنید. این حصول اطمینان به دلیل امکان وجود مشکلات دیگر مربوط به ساخت قدیمیتر Galaxy Store ضروریاست.
برای بهروزرسانی Galaxy Store در تلفن خود، برنامه Galaxy Store را باز کنید و و روی اعلان با گزینه Update بزنید و دستورالعملها را دنبال کنید. در صورت عدم مشاهده اعلان، پس از باز کردن برنامه به Menu > Settings بروید. روی About Galaxy Store و Update را بزنید. به دلیل انتشار این بهروزرسانی در ۱ ژانویه، ممکن است پیش از این آن را نصب کرده باشید.
افراد مالک گوشیهای قدیمی سامسونگ گلکسی که دیگر بهروزرسانی سیستمعامل را دریافت نمیکنند، ممکن است برنامه Galaxy Store آنها به دلیل عدم دریافت بهروزرسانی، دارای نقص باشد. در این صورت، یا میتوان یک گوشی جدید خریداری و یا Galaxy Store را از گوشی خود حذف کرد. حذف آن راه حل خوبی نیست، زیرا به روزرسانی برنامههای سامسونگ برای دستگاه شما از طریق Galaxy Store ارائه میشود.
در صورت عدم تمایل به خرید یک گوشی جدید، از عدم نصب برنامهای نامطلوب یا ناخواسته (به غیر از برنامههای از پیش نصبشده سامسونگ) روی دستگاه خود اطمینان حاصل کنید.