三星Galaxy商店的应用程序被发现隐秘应用程序安装和欺诈行为

三星的安卓Galaxy Store应用出现了两个安全漏洞，本地攻击者可利用这些漏洞隐蔽地安装任意应用或将潜在的受害者引导到网络上的欺诈性登陆页面。

这些问题被追踪为CVE-2023-21433和CVE-2023-21434。三星将这些漏洞列为中度风险，并在本月初发货的4.5.49.8版本中发布了修复措施。

三星Galaxy Store，以前被称为三星应用和Galaxy应用，是一个专门用于三星制造的安卓设备的应用商店。它于2009年9月推出。

两个漏洞中的第一个是CVE-2023-21433，它可以使三星设备上已经安装的流氓安卓应用程序安装Galaxy Store上的任何应用程序。这个缺点只影响运行安卓12及以前的三星设备，而不影响那些最新版本的设备（安卓13）。

第二个漏洞，CVE-2023-21434，涉及到在限制可从应用程序内作为WebView启动的域的列表时发生的不适当的输入验证实例，有效地使黑客能够绕过过滤器并浏览到他们控制的域。

此次更新是在三星推出2023年1月的安全更新，以弥补几个缺陷，其中一些缺陷可被利用来修改运营商网络参数，未经许可控制BLE广告，并实现任意代码执行。