網絡安全研究人員 Dhiraj Mishra 近期披露了三星 Android 瀏覽器一處關鍵 “同源策略”（ SOP ）漏洞（CVE-2017-17692），該漏洞存在于三星互聯網瀏覽器 5.4.02.3 版本或更早版本之中，可允許攻擊者在用戶訪問惡意網站后竊取密碼或 cookie 會話等重要信息。

  同源策略（SOP）是現代瀏覽器中應用的一種安全特性，旨在使來自同一網站的 Web 頁面可以互動的同時，防止被不相關的網站干擾。換句話說，SOP 可以確保來自一個源的 JavaScript 代碼不會訪問另一個源網站的屬性。

  當攻擊者通過 Javascript 操作在三星互聯網瀏覽器的一個給定域名（例如：google.com）中打開一個新標簽時，該 Javascript 代碼可在事后隨意重寫頁面內容。這是瀏覽器設計中的一個禁忌，因為這意味著攻擊者可以通過 Javascript 違反同源策略，并且可以從一個站點（由攻擊者控制）直接執行 Javascript 操作后，在另一個站點（攻擊者感興趣的）采取后續行動。從本質上講，如果受害者率先訪問攻擊者控制的 Web 頁面后，攻擊者不僅可以將自定義的 Javascript 代碼插入到任何域名之中，還可以竊取 cookie 會話并以用戶名義讀寫 webmail。

  Mishra 當時向三星報告了漏洞細節，而三星公司也表示：“補丁已經在我們即將推出的 Galaxy Note 8 中預裝，其應用程序也將于 10 月份通過 App Store 更新進行更新”。目前，Mishra 已在  Tod Beardsley Rapid7 團隊 Jeffrey Martin 的幫助下發布了一款基于 Metasploit 模塊生成的 POC。