三星已经修补了其移动应用程序市场中的两个漏洞，这些漏洞可能允许威胁行为者在设备所有者不知情或未同意的情况下在目标移动设备上安装任何应用程序。

NCCGroup的网络安全研究人员于2022年12月下旬发现了这些漏洞，并向三星发出警告，该公司于2023年1月1日发布了补丁(版本4.5.49.8)。

现在，在漏洞修复近一个月后，研究人员发布了技术细节和概念验证(PoC)利用代码。

TechRadarPro需要你!我们希望为我们的读者建立一个更好的网站，我们需要您的帮助!您可以通过填写我们的调查并告诉我们您对2023年科技行业的看法和观点来尽一份力。只需几分钟，您的所有回答都将是匿名和保密的。再次感谢您帮助我们使TechRadarPro变得更好。

D.Athow，总编辑

安装恶意应用程序

第一个缺陷被追踪为CVE-2023-21433，这是一个不正确的访问控制缺陷，可用于在目标端点上安装应用程序。第二个缺陷，跟踪为CVE-2023-21434，被描述为不正确的输入验证漏洞，可用于在目标设备上执行恶意JavaScript。

据说，虽然利用这两个漏洞需要本地访问权限，但对于熟练的犯罪分子来说这不是问题。研究人员通过让应用程序安装PokemonGo来证明这些缺陷，PokemonGo是一款全球流行的基于Pokemon世界的地理定位游戏。

研究人员证实，虽然PokemonGo是一款良性应用程序，但这些缺陷可能会被用于更险恶的目标。事实上，威胁行为者本可以利用它们来访问敏感信息(在新标签页中打开)或使移动应用程序崩溃。

还需要指出的是，运行Android13的三星设备不容易受到该缺陷的影响，即使他们的设备仍然带有较旧的、易受攻击的GalaxyStore版本。

这是由于流行的移动操作系统的最新版本引入了额外的安全措施。

然而，根据AppBrain的数据，只有7%的Android设备运行最新版本，而不受支持的Android版本(9.0Pie及更早版本)约占整个Android市场份额的27%。