Một lỗ hổng bảo mật hiện đã được vá đã được phát hiện trong ứng dụng Galaxy Store dành cho các thiết bị Samsung có khả năng cho phép thực thi lệnh từ xa (remote command execution) trên các thiết bị bị ảnh hưởng.
Lỗ hổng, ảnh hưởng đến phiên bản Galaxy Store 4.5.32.4, liên quan đến lỗi cross-site scripting (XSS) xảy ra khi xử lý một deep link độc hại.
SSD Secure Disclosure cho biết "do việc kiểm tra deep link theo cách không an toàn, khi người dùng truy cập vào một liên kết từ một trang web chứa deep link, kẻ tấn công có thể thực thi mã JavaScript trong ngữ cảnh webview của ứng dụng Galaxy Store".
Các cuộc tấn công XSS cho phép kẻ tấn công chèn và thực thi mã JavaScript độc hại khi truy cập trang web từ trình duyệt hoặc ứng dụng khác.
Vấn đề được xác định trong ứng dụng Galaxy Store, liên quan đến cách các deep link được cấu hình cho Dịch vụ Tiếp thị & Nội dung (MCS) của Samsung, có khả năng dẫn đến việc mã JavaScript tùy ý được đưa vào trang web MCS và dẫn đến việc thực thi.
Điều này có thể bị lạm dụng để tải xuống và cài đặt các ứng dụng có chứa phần mềm độc hại trên thiết bị Samsung khi truy cập liên kết.
Các nhà nghiên cứu lưu ý: “Để có thể khai thác thành công một thiết bị của nạn nhân, kẻ tấn công cần phải vượt qua kiểm tra CORS của chrome”.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Cùng với việc thường xuyên cảnh báo các thông tin về những điểm yếu, lỗ hổng bảo mật phổ biến hiện nay, Cục An toàn thông tin, Bộ Thông tin và Truyền thông cũng hướng dẫn cụ thể các đơn vị cách kiểm tra an toàn của các ứng dụng.
Tín nhiệm mạng | Năm ứng dụng dropper Android với tổng cộng hơn 130.000 lượt cài đặt được phát hiện trên Cửa hàng Google Play đang phát tán mã độc banking trojan như SharkBot và Vultur, có khả năng đánh cắp dữ liệu tài chính và thực hiện gian lận trên thiết bị.
Tín nhiệm mạng | Google đã phát hành các bản cập nhật bảo mật khẩn cấp để ngăn chặn một lỗ hổng zero-day đang bị tin tặc khai thác trong trình duyệt web Chrome.
Tín nhiệm mạng | Lừa đảo nhận quà từ nước ngoài là chiêu trò lừa đảo qua mạng đã xuất hiện tại Việt Nam trong vài năm trở lại đây. Mặc dù được cơ quan chức năng cảnh báo rộng rãi nhưng đến nay vẫn có rất nhiều người nhẹ dạ cả tin mà đánh mất cả trăm triệu với hy vọng nhận được món quà giá trị từ nước ngoài gửi về.
Tín nhiệm mạng | Lừa đảo trúng thưởng, dẫn dụ người dùng truy cập các trang web giả mạo để đánh cắp thông tin và chiếm đoạt tài sản không còn là hình thức lừa đảo mới, nhưng vẫn không ít người "sập bẫy" bởi chiêu trò này.
Tín nhiệm mạng | Lừa đảo kêu gọi đầu tư tài chính, tiền ảo bằng cách kêu gọi người chơi bỏ tiền tham gia đầu tư, mua - bán, giao dịch các loại "tiền ảo", "tiền kỹ thuật số", "tiền mã hóa" trên các sàn giao dịch nhị phân (Binary Option - BO), sàn đầu tư ngoại hối… không phải là một hình thức lừa đảo mới nữa. Tuy nhiên, vẫn còn rất nhiều người thiếu hiểu biết, mù quáng tin theo và trở thành nạn nhân của chiêu trò lừa đảo này
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
