Investigadores en NCC Group, la firma de ciberseguridad, descubrió vulnerabilidades en Galaxy Store, la tienda de aplicaciones que está disponible solo para aquellos con un teléfono Samsung Galaxy. Las vulnerabilidades se encontraron entre el 23 de noviembre y el 3 de diciembre de 2022 y podrían haber permitido que un atacante instalara cualquier aplicación de Galaxy App Store en un teléfono Galaxy sin el conocimiento del usuario. A esta falla se le asignó un número de Vulnerabilidades y exposiciones comunes de CVE-2023-21433. Al asignar a cada vulnerabilidad un número CVE, ayuda a los investigadores a rastrearlas y Google cita estos números cuando revela qué fallas se han reparado en sus actualizaciones mensuales de Android. La segunda falla es CVE-2023-21434, que permite a los atacantes ejecutar JavaScript en un teléfono Galaxy.
La explotación de las vulnerabilidades podría poner en riesgo la información personal de un usuario de Galaxy
El informe señala que, dependiendo de lo que el atacante tenga en mente, un ataque que aproveche las vulnerabilidades podría permitir que los atacantes accedan a datos personales y también podría provocar que las aplicaciones se bloqueen. Si el atacante carga una aplicación maliciosa en Galaxy Store antes de explotar las fallas, podría instalar esa aplicación en un teléfono inteligente Galaxy sin el conocimiento del propietario. Y eso podría generar serios problemas de seguridad.
Se descubrieron y corrigieron dos vulnerabilidades de Galaxy Store
Al desencadenar el ataque, el usuario podía tocar un hipervínculo malicioso que aparecía en el navegador Google Chrome. (usando un teléfono Samsung Galaxy), o una aplicación no autorizada preinstalada en un teléfono Galaxy podría atravesar el filtro de URL de Sammy e iniciar una vista web en un dominio controlado por los atacantes.
El informe de NCC afirma:”Fue descubrió que Galaxy Store tiene una actividad exportada que no maneja los intentos entrantes de manera segura. Esto permite que otras aplicaciones instaladas en el mismo dispositivo Samsung instalen automáticamente cualquier aplicación disponible en Galaxy Store sin el conocimiento del usuario”. El informe también dice:”Una aplicación rouge preinstalada en un dispositivo Samsung con Android 12 o inferior puede abusar de este problema para instalar cualquier aplicación actualmente disponible en Galaxy Store”. CVE-2023-21433 no se puede explotar en teléfonos Samsung con Android 13 gracias a las funciones de seguridad que forman parte de la última versión del sistema operativo móvil de Google. Además, el primer día de 2023, Samsung anunció que había parcheado las dos vulnerabilidades y lanzó la versión 4.5.49.8 de Galaxy Store.
¡Reserve su Galaxy S23 series por adelantado ahora!
Asegúrese de tener la última versión de Galaxy App Store ejecutándose en su teléfono de la marca Galaxy, incluso si el dispositivo ejecuta Android 13. Eso se debe a que podría haber otros problemas relacionados con la versión anterior de Galaxy Store que no pueden ser neutralizados por las características de seguridad de Android 13.
Cómo actualizar Galaxy Store en su Teléfono Samsung
Para actualizar Galaxy Store en su teléfono, abra la aplicación Galaxy Store y debería ver una notificación con un botón que dice Actualizar. Toca ese botón y sigue las instrucciones. Si no ve la notificación, después de abrir la aplicación, vaya a Menú > Configuración. Toque Acerca de Galaxy Store y presione el botón de actualización. Dado que la actualización se lanzó el 1 de enero, es muy probable que ya haya instalado la actualización.
Aquellos que poseen teléfonos Samsung Galaxy más antiguos que ya no cuentan con el soporte de Samsung podrían quedarse fuera. De suerte. Eso se debe a que no recibirían una actualización para Galaxy Store y su versión de la tienda de aplicaciones podría contener fallas. En este caso, podrías comprar un teléfono nuevo o quizás quieras deshabilitar Galaxy Store de tu teléfono. Pero esa tampoco es una buena solución, ya que las actualizaciones de las aplicaciones de Samsung para su dispositivo vienen a través de Galaxy Store.
Si no puede comprar un teléfono nuevo, siga revisando el dispositivo para asegurarse de que no haya cualquier aplicación instalada que no recuerda haber descargado (fuera de las aplicaciones que Samsung preinstaló en el teléfono).
