Эксперты опубликовали эксплойты для дыр в Samsung Galaxy App Store

Екатерина Быстрова 23 Января 2023 - 09:35

Домашние пользователи

...

В Сети появился эксплойт для уязвимостей в официальном магазине приложений Samsung Galaxy App Store. С его помощью злоумышленники могут установить любое приложение без согласия пользователя, а также перенаправить его на вредоносный сайт.

На бреши указали исследователи из NCC Group в ноябре-декабре 2022 года. 1 января 2023 года Samsung сообщила об устранении двух проблем с релизом новой версии Galaxy App Store под номером 4.5.49.8.

На днях специалисты NCC Group опубликовали технические детали уязвимостей вместе с кодом демонстрационного эксплойта (proof-of-concept, PoC). Следует учитывать, что эти векторы атаки подразумевают наличие локального доступа к устройству.

Одна из брешей (CVE-2023-21433) существует из-за некорректной проверки доступа, позволяющей киберпреступникам установить на смартфон любое приложение, доступное в магазине Galaxy App Store.

Как отметили в NCC Group, Galaxy App Store неправильно обрабатывает входящие запросы, допуская произвольные команды на установку любого софта. PoC-код исследователей, например, позволяет инсталлировать на мобильное устройство игру Pokemon Go.

Вторая уязвимость (CVE-2023-21434) — некорректная обработка ввода, позволяющая злоумышленникам выполнить JavaScript-код на девайсе жертвы. Исследователи из NCC выяснили, что webview-компонент магазина Galaxy App Store содержит фильтр, ограничивающий число доменов, контент которых будет отображаться.

Проблема в том, что фильтр неправильно настроен, поэтому его можно обойти и подсунуть пользователю контент вредоносного сайта. PoC-код содержит гиперссылку, которая (если кликнуть на неё в Chrome) откроет JavaScript страницу с вредоносным JavaScript.

Хуже всего придётся владельцам моделей смартфонов, которые Samsung уже не поддерживает. Всем другим рекомендуется установить патчи.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 08:40

iOS Домашние пользователи Корпорации Apple

МАКС удалили из App Store: на iPhone мессенджер больше не скачать

Российский мессенджер МАКС вечером 3 июня неожиданно пропал из App Store. Информацию об удалении подтвердили в пресс-службе сервиса. При этом причины исчезновения приложения из магазина Apple пока непонятны. Пользователям, которые уже успели установить МАКС на свои iPhone и iPad, переживать не стоит: приложение продолжает работать в штатном режиме.

Проблема, о которой сообщил «Код Дурова», касается только новых установок и загрузки мессенджера из App Store.

В пресс-службе рассказали, что уже направили запрос в Apple и ждут официальных разъяснений. Пока же компания не может сказать, почему именно приложение было удалено и когда оно сможет вернуться в магазин.

Представители МАКС напоминают, что скачать мессенджер можно в RuStore, Google Play, Huawei AppGallery, Samsung Store, Xiaomi Store, Vivo Store и с официального сайта проекта.

Вот только есть нюанс. Все перечисленные варианты актуальны для Android-устройств и экосистемы различных производителей смартфонов. Владельцам техники Apple от этого списка, мягко говоря, ни жарко ни холодно.

На iPhone альтернативных магазинов приложений для российских пользователей фактически нет, а установка программ с сайта в привычном для Android виде невозможна.

Таким образом, если МАКС действительно надолго останется за пределами App Store, новые пользователи iPhone просто не смогут его установить. Те же, у кого приложение уже есть, пока могут пользоваться сервисом без ограничений.

Apple на момент публикации ситуацию не комментировала. Поэтому остаётся только гадать, связано ли удаление с нарушением каких-либо правил площадки, технической ошибкой или другими причинами.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!