網絡安全機構 NCC Group 的研究員日前撰文,表示 Samsung Galaxy 手機預載的 Galaxy Store 程式商店有嚴重漏洞,該漏洞在去年 11 月 23 日至 12 月 3 日期間發現,容許攻擊者在未經用戶許可下,透過 Galaxy Store 安裝任何程式到手機。
可安裝任何程式
上述漏洞被配以公共漏洞和暴露編號 CVE-2023-21433,方便研究員作進一步追蹤,Google 亦會在每月 Android 保安更新作出跟進。此外,NCC Group 的保安研究員還發現另一漏洞 CVE-2023-21434,攻擊者可以在 Galaxy 手機上隨意執行 JavaScript 代碼。NCC Group 表示攻擊者利用漏洞,可以取得用戶的個人資料,亦能夠導致程式崩潰,假如攻擊者上載惡意程式到 Galaxy Store,就可以在未經用戶許可下將惡意程式散播和安裝,導致嚴重的保安問題。元旦日已推出更新
攻擊者只要在網上散播打開 Galaxy Store 的連結,系統版本 Android 12 或以下的 Galaxy 手機用戶就很容易中招,在未經他們許可下安裝任何在 Galaxy Store 的程式。已經升級 Android 13 的 Galaxy 手機不受今次漏洞影響,幸而 Samsung 在 2023 年元旦日已經推出 4.5.49.8 版本的 Galaxy Store 程式,只要更新到此版本就能修正上述兩項嚴重漏洞。要檢查 Galaxy Store 的版本,在打開程式後選擇功能表,然後點擊右上角的齒輪圖示,再點擊打開關於 Galaxy Store 就可以見到版本編號。
資料來源:phonearena