Uma falha de segurança já corrigida foi divulgada no aplicativo Galaxy Store para dispositivos Samsung que poderia desencadear a execução de comandos remotos nos telefones afetados.

A vulnerabilidade, que afeta a versão 4.5.32.4 da Galaxy Store, está relacionada a um bug de cross-site scripting (XSS) que ocorre ao lidar com determinados links diretos. Um pesquisador de segurança independente foi creditado por relatar o problema.

Os ataques de XSS permitem que um adversário injete e execute código JavaScript malicioso ao visitar um site a partir de um navegador ou outro aplicativo.

O problema identificado no aplicativo Galaxy Store tem a ver com a forma como os links diretos são configurados para o Marketing & Content Service (MCS) da Samsung, potencialmente levando a um cenário em que o código arbitrário injetado no site do MCS pode levar à sua execução.

Isso pode ser aproveitado para baixar e instalar aplicativos com malware no dispositivo Samsung ao visitar o link.