Dos vulnerabilidades críticas en los smartphones Samsung Galaxy S21

Se ha reportado la detección de dos vulnerabilidades en los dispositivos Samsung Galaxy S21 cuya explotación maliciosa permitiría a los actores de amenazas desplegar diversas tareas de hacking en los dispositivos comprometidos.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivos puntajes asignados según el Common Vulnerability Scoring System (CVSS). Cabe mencionar que estas fallas no tienen clave de identificación CVE.

Sin clave CVE: La desinfección inadecuada de los datos proporcionados por el usuario dentro de la aplicación Galaxy Store permitiría a los actores de amenazas crear un enlace aparentemente legítimo que redirigiría a los usuarios a un dominio arbitrario desde el cual puede realizarse un ataque de ejecución remota de código (RCE).

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.7/10.

Sin clave CVE: El manejo inadecuado de errores al acceder a las URL de confianza permitiría a los hackers maliciosos0 en la red local engañar a los usuarios para que visiten sitios web maliciosos o abran archivos especialmente diseñados que llevarán a un escenario RCE en los sistemas afectados.

Según el reporte, las fallas residen en todas las versiones del software de Samsung Galaxy S21, por lo que es un problema ampliamente extendido.

Si bien las vulnerabilidades pueden ser explotadas por actores de amenazas remotos no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, se recomienda a los usuarios de dispositivos afectados aplicar las actualizaciones disponibles a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).