所有三星Galaxy用户都需要在手机上安装最新版本的GalaxyStore

网络安全公司NCCGroup的研究人员发现了GalaxyStore中的漏洞，该应用程序店面仅适用于拥有三星Galaxy手机的用户。这些漏洞是在2022年11月23日至12月3日之间发现的，可能允许攻击者在用户不知情的情况下在Galaxy手机上安装GalaxyAppStore中的任何应用程序。

此缺陷的常见漏洞和披露编号为CVE-2023-21433。通过给每个漏洞一个CVE编号，它可以帮助研究人员跟踪它们，谷歌在揭示其每月Android更新中修复了哪些缺陷时会引用这些数字。第二个漏洞是CVE-2023-21434，它允许攻击者在Galaxy手机上执行JavaScript。

利用这些漏洞可能会使Galaxy用户的个人信息面临风险

该报告指出，根据攻击者的想法，利用这些漏洞的攻击可能允许不良行为者访问个人数据，还可能导致应用程序崩溃。如果攻击者在利用这些漏洞之前将恶意应用程序上传到GalaxyStore，他就可以在所有者不知情的情况下将该应用程序安装到Galaxy智能手机上。这可能会导致严重的安全问题。

发起攻击时，用户可以点击GoogleChrome浏览器上出现的恶意超链接(使用三星Galaxy手机)，或者预装在Galaxy手机上的流氓应用程序可以通过Sammy的URL过滤器并启动webview到攻击者控制的域。

NCC的报告指出，“我们发现GalaxyStore有一个导出的活动，它没有以安全的方式处理传入的意图。这允许安装在同一三星设备上的其他应用程序自动安装GalaxyStore上可用的任何应用程序，而无需用户的知识。”该报告还称，“在运行Android12或更低版本的三星设备上预装的rouge应用程序可能会滥用此问题来安装GalaxyStore当前可用的任何应用程序。”

由于谷歌移动操作系统最新版本的安全功能，CVE-2023-21433无法在运行Android13的三星手机上被利用。此外，在2023年的第一天，三星宣布已修复这两个漏洞，并发布了GalaxyStore4.5.49.8版本。

S23Ultra现已正式上市。购买时最高可获得750美元的以旧换新信用额度，以及Samsung的100美元即时信用额度。这款手机起价为199.99美元，符合条件的AT&T或T-Mobile以旧换新。

确保您的Galaxy品牌手机上运行的是最新版本的GalaxyAppStore，即使该设备运行的是Android13。那是因为可能存在与旧版GalaxyStore相关的其他问题，这些问题无法解决被Android13上的安全功能抵消了。

要更新手机上的GalaxyStore，请打开GalaxyStore应用程序，您应该会看到一条通知，其中包含一个显示更新的按钮。点击该按钮并按照说明进行操作。如果您没有看到通知，请在打开应用程序后前往菜单>设置。点击关于GalaxyStore并按下更新按钮。由于该更新于1月1日发布，因此您很可能已经安装了该更新。

那些拥有不再获得三星支持的旧三星Galaxy手机的人可能会倒霉。那是因为他们不会收到GalaxyStore的更新，而且他们的应用程序店面版本可能包含这些缺陷。在这种情况下，您可以购买一部新手机，或者您可能希望从手机中禁用GalaxyStore。但这也不是一个好的解决方案，因为适用于您设备的三星应用程序的更新是通过GalaxyStore进行的。

如果购买新手机是不可能的，请继续检查设备以确保没有安装任何您不记得下载的应用程序(三星预装在手机上的应用程序除外)。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！