Samsung sufre un grave problema de seguridad en su Galaxy Store: actualiza la tienda cuanto antes

Samsung sufre un grave problema de seguridad en su Galaxy Store: actualiza la tienda cuanto antes
2 comentarios Facebook Twitter Flipboard E-mail

Todos los móviles y tablets de Samsung disponen de una tienda paralela a Google Play: la Galaxy Store. Perfecta para instalar aplicaciones, recientemente se descubrió que dicha tienda de Samsung permitía a otras apps instalar software en el dispositivo sin conocimiento del dueño. Samsung corrigió dicho fallo: actualiza cuanto antes la tienda.

No es que Android vaya coja de opciones en lo que a instalar aplicaciones se refiere, que, aparte de la tienda oficial en todos los dispositivos licenciados por Google, existe una gran cantidad de tiendas paralelas desde las que descargar nuevo software. Incluso hay más tiendas oficiales aparte de Google Play; lo que amplía posibilidades y, en ocasiones, también los riesgos para el usuario.

La Galaxy Store dejaba instalar aplicaciones de forma oculta

Samsung Galaxy Store Actualizar

La tienda oficial de Samsung para sus dispositivos con Android incluye apps y juegos exclusivos, también software que está disponible en Google Play. Samsung a menudo ofrece distintas promociones a sus usuarios con la idea de convertirse en alternativa para aquellos que no deseen utilizar la tienda de Android. Y conviene mantener la Galaxy Store actualizada, incluso aunque el usuario no descargue nada desde allí.

Investigadores de la firma de seguridad NCC Group, radicada en Texas, descubrieron un grave fallo de seguridad en la tienda que todos los dispositivos Samsung Galaxy treparen preinstalada. Gracias a los permisos de instalación que posee la Galaxy Store por defecto, el agujero en su seguridad permitía a otras aplicaciones instaladas en el dispositivo acceder de forma oculta a la tienda para descargar software no autorizado por el usuario. El funcionamiento quedaba completamente oculto.

En total, la Galaxy Store ofrecía dos graves vulnerabilidades; reconocidas por Samsung y ya solucionadas: una que habilitaba el acceso a la tienda para instalar software sin autorización (CVE-2023-21433) y otra que habilitaba la ejecución de código JavaScript al cargar una página web (CVE-2023-21434). Gracias a los dos fallos de seguridad, NCC Group pudo instalar aplicaciones no autorizadas para, aprovechándose del segundo agujero, ejecutar código malicioso tras falsear el acceso a la web en el servicio de partidas guardadas en la nube. Samsung dio una valoración de «moderada» al riesgo que suponían los dos fallos: no hay constancia de que fuesen aprovechados.

Tras la constatación de los agujeros de seguridad, Samsung corrigió el funcionamiento de la tienda con una actualización: nuestra recomendación es actualizarla cuanto antes, incluso aunque no se use la tienda de Samsung para descargar aplicaciones; basta con abrir la tienda y pulsar sobre la actualización pendiente. Además, quienes hayan actualizado a Android 13 con One UI 5 están cubiertos contra los fallos: éstos sólo afectan a la Galaxy Store sin actualizar que esté instalada en Android 12 e inferiores.

Más información | NCC Group, Samsung
Vía | Phone Arena

Inicio