Viedtālruņi ir ļoti svarīgi daudzu no mums dzīvē. Caur viņiem mēs sazināmies ar mīļajiem, plānojam savas dienas un organizējam savu dzīvi. Tāpēc drošība viņiem ir tik svarīga. Problēma ir tad, kad parādās izmantošana, kas nodrošina lietotājam pilnīgu piekļuvi sistēmai būtībā jebkurā Samsung tālrunī.
Lietotāji, kuriem patīk pielāgot savus viedtālruņus, var gūt labumu no šādām darbībām. Padziļināta piekļuve sistēmai ļauj viņiem, piemēram, ielādēt GSI (Generic System Image) vai mainīt ierīces reģionālo CSC kodu. Tā kā tas lietotājam piešķir sistēmas privilēģijas, to var izmantot arī bīstamā veidā. Šāda izmantošana apiet visas atļauju pārbaudes, tai ir piekļuve visiem lietojumprogrammu komponentiem, tiek sūtītas aizsargātas apraides, tiek veiktas fona darbības un daudz kas cits.
Problēma radās TTS lietojumprogrammā
2019. gadā tika atklāts, ka ievainojamība ar apzīmējumu CVE-2019-16253 ietekmē teksta pārveides runā (TTS) dzinēju, ko Samsung izmanto versijās, kas vecākas par 3.0.02.7. Šī izmantošana ļāva uzbrucējiem paaugstināt privilēģijas par sistēmas privilēģijām, un vēlāk tika labots.
Fotogalerie
TTS lietojumprogramma būtībā akli pieņēma visus datus, ko tā saņēma no TTS dzinēja. Lietotājs varēja nodot bibliotēku TTS dzinējam, kas pēc tam tika nodots TTS lietojumprogrammai, kas ielādētu bibliotēku un pēc tam palaistu to ar sistēmas privilēģijām. Šī kļūda vēlāk tika novērsta, lai TTS lietojumprogramma apstiprinātu datus, kas nāk no TTS dzinēja.
Tomēr Google in Androidu 10 ieviesa iespēju atsaukt lietojumprogrammas, instalējot tās ar parametru ENABLE_ROLLBACK. Tas ļauj lietotājam atjaunot ierīcē instalētās lietojumprogrammas versiju uz tās iepriekšējo versiju. Šī iespēja ir paplašināta arī Samsung lietotnē teksta pārvēršana runā jebkurā ierīcē Galaxy, kas pašlaik ir pieejama, jo mantotā TTS lietotne, kuru lietotāji var izmantot jaunajos tālruņos, nekad iepriekš nebija instalēta.
Samsung par problēmu zināja trīs mēnešus
Citiem vārdiem sakot, lai gan minētais 2019. gada eksploats ir izlabots un izplatīta atjaunināta TTS lietotnes versija, lietotājiem to ir viegli instalēt un izmantot ierīcēs, kas izlaistas vairākus gadus vēlāk. Kā viņš apgalvo web XDA Developers, Samsung par šo faktu tika informēts pagājušā gada oktobrī, un janvārī viens no tās izstrādātāju kopienas dalībniekiem ar nosaukumu K0mraid3 vēlreiz sazinājās ar uzņēmumu, lai noskaidrotu, kas noticis. Samsung atbildēja, ka tā ir problēma ar AOSP (Android Atvērtā pirmkoda projekts; ekosistēmas daļa Androidu) un sazināties ar Google. Viņš norādīja, ka šī problēma ir apstiprināta Pixel tālrunī.
Tāpēc K0mraid3 devās ziņot par problēmu Google, tikai atklājot, ka gan Samsung, gan kāds cits to jau ir izdarījis. Pašlaik nav skaidrs, kā Google risinās problēmu, ja patiešām ir iesaistīts AOSP.
Jūs varētu interesēt
K0mraid3 ieslēgts forums XDA norāda, ka labākais veids, kā lietotāji var sevi aizsargāt, ir instalēt un izmantot šo izmantošanu. Kad viņi to izdarīs, neviens cits nevarēs ielādēt otro bibliotēku TTS dzinējā. Vēl viena iespēja ir izslēgt vai noņemt Samsung TTS.
Pašlaik nav skaidrs, vai ļaunprātīga izmantošana ietekmēs šogad izlaistas ierīces. K0mraid3 piebilda, ka dažas JDM (Joint Development Manufacturing) ārpakalpojumu sniedzēja ierīces, piemēram, samsung Galaxy A03. Šīm ierīcēm var būt nepieciešama tikai pareizi parakstīta TTS lietojumprogramma no vecākas JDM ierīces.
