Эксперты опубликовали эксплойты для дыр в Samsung Galaxy App Store
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Эксперты опубликовали эксплойты для дыр в Samsung Galaxy App Store

Екатерина Быстрова 23 Января 2023 - 09:35
...
Эксперты опубликовали эксплойты для дыр в Samsung Galaxy App Store

В Сети появился эксплойт для уязвимостей в официальном магазине приложений Samsung Galaxy App Store. С его помощью злоумышленники могут установить любое приложение без согласия пользователя, а также перенаправить его на вредоносный сайт.

На бреши указали исследователи из NCC Group в ноябре-декабре 2022 года. 1 января 2023 года Samsung сообщила об устранении двух проблем с релизом новой версии Galaxy App Store под номером 4.5.49.8.

На днях специалисты NCC Group опубликовали технические детали уязвимостей вместе с кодом демонстрационного эксплойта (proof-of-concept, PoC). Следует учитывать, что эти векторы атаки подразумевают наличие локального доступа к устройству.

Одна из брешей (CVE-2023-21433) существует из-за некорректной проверки доступа, позволяющей киберпреступникам установить на смартфон любое приложение, доступное в магазине Galaxy App Store.

Как отметили в NCC Group, Galaxy App Store неправильно обрабатывает входящие запросы, допуская произвольные команды на установку любого софта. PoC-код исследователей, например, позволяет инсталлировать на мобильное устройство игру Pokemon Go.

 

Вторая уязвимость (CVE-2023-21434) — некорректная обработка ввода, позволяющая злоумышленникам выполнить JavaScript-код на девайсе жертвы. Исследователи из NCC выяснили, что webview-компонент магазина Galaxy App Store содержит фильтр, ограничивающий число доменов, контент которых будет отображаться.

Проблема в том, что фильтр неправильно настроен, поэтому его можно обойти и подсунуть пользователю контент вредоносного сайта. PoC-код содержит гиперссылку, которая (если кликнуть на неё в Chrome) откроет JavaScript страницу с вредоносным JavaScript.

 

Хуже всего придётся владельцам моделей смартфонов, которые Samsung уже не поддерживает. Всем другим рекомендуется установить патчи.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Chrome для Android тестируют ИИ-генератор изображений в адресной строке
Екатерина Быстрова 25 Ноября 2025 - 16:49
Android GenAI (генеративный искусственный интеллект) Домашние пользователи Google
В Chrome для Android тестируют ИИ-генератор изображений в адресной строке

Google продолжает активно наращивать ИИ-функции в Chrome — и теперь экспериментальный генератор изображений Nano Banana появился и в мобильной версии браузера. Раньше эта функция тестировалась только на десктопе в сборке Chrome Canary, но теперь её заметили и в Chrome Canary для Android.

Как сообщает Windows Report, в мобильной версии Nano Banana спрятан в меню, которое открывается после нажатия «плюса» в адресной строке.

Там появляются пункты «Camera», «Gallery», «Files», «AI Mode» и новая опция — «Create image». Если выбрать её, под адресной строкой появится поле с возможностью вводить текстовый запрос. ИИ-модель генерирует изображение прямо внутри браузера, без перехода в другие приложения.

Готовую картинку можно сохранить или сразу отправить кому угодно. Под изображением отображается предупреждение, что контент может быть неточным — стандартная приписка Google к экспериментальным ИИ-функциям.

 

Первые упоминания Nano Banana появились в октябре: следы функции обнаружились в экспериментальном режиме поиска Google на Android. Судя по всему, компания давно готовила более глубокую интеграцию генеративных моделей в свои мобильные сервисы.

Ожидается, что в ближайшие месяцы Google будет дорабатывать инструмент, а затем перенесёт его в более стабильные ветки Chrome — Dev и Beta. После этого функция, вероятно, станет одной из ключевых ИИ-возможностей браузера, наряду с обновлённым поиском на базе Gemini.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
К ноябрю мошенники создали более 200 доменов с темой чёрной пятницы
Новость
К ноябрю мошенники создали более 200 доменов с темой чёрной...
Глава кабмина РФ попросил не называть ИБ-профессионалов белыми хакерами
Новость
Глава кабмина РФ попросил не называть ИБ-профессионалов белы...
Мошенники обманывают съёмщиков квартир, выдавая себя за собственников
Новость
Мошенники обманывают съёмщиков квартир, выдавая себя за собс...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.