स्मार्टफोन हामी मध्ये धेरैको जीवनको केन्द्रबिन्दु हो। तिनीहरू मार्फत हामी प्रियजनहरूसँग कुराकानी गर्छौं, हाम्रा दिनहरू योजना बनाउँछौं र हाम्रो जीवन व्यवस्थित गर्छौं। त्यसैले सुरक्षा उनीहरूको लागि धेरै महत्त्वपूर्ण छ। समस्या तब हुन्छ जब एक शोषण देखा पर्दछ जसले प्रयोगकर्तालाई मूल रूपमा कुनै पनि सैमसंग फोनमा पूर्ण प्रणाली पहुँच दिन्छ।
आफ्नो स्मार्टफोनलाई अनुकूलन गर्न मन पराउने प्रयोगकर्ताहरूले त्यस्ता शोषणबाट फाइदा लिन सक्छन्। प्रणालीमा गहिरो पहुँचले तिनीहरूलाई अनुमति दिन्छ, उदाहरणका लागि, GSI (जेनेरिक प्रणाली छवि) बुट गर्न वा उपकरणको क्षेत्रीय CSC कोड परिवर्तन गर्न। यसले प्रयोगकर्ता प्रणालीलाई विशेषाधिकारहरू दिने भएकोले, यो खतरनाक तरिकामा पनि प्रयोग गर्न सकिन्छ। यस्तो शोषणले सबै अनुमति जाँचहरू बाइपास गर्दछ, सबै अनुप्रयोग कम्पोनेन्टहरूमा पहुँच छ, सुरक्षित प्रसारणहरू पठाउँदछ, पृष्ठभूमि गतिविधिहरू चलाउँछ, र अधिक।
TTS अनुप्रयोगमा समस्या उत्पन्न भयो
2019 मा, यो खुलासा गरिएको थियो कि CVE-2019-16253 लेबल गरिएको कमजोरीले 3.0.02.7 भन्दा पहिलेको संस्करणहरूमा Samsung द्वारा प्रयोग गरिएको टेक्स्ट-टु-स्पीच (TTS) इन्जिनलाई असर गर्छ। यो शोषणले आक्रमणकारीहरूलाई प्रणाली विशेषाधिकारहरूमा विशेषाधिकारहरू बढाउन अनुमति दियो र पछि प्याच गरियो।
फोटो ग्यालरी
TTS एप्लिकेसनले TTS इन्जिनबाट प्राप्त गरेको जुनसुकै डाटालाई मूल रूपमा अन्धाधुन्ध रूपमा स्वीकार गर्यो। प्रयोगकर्ताले पुस्तकालयलाई TTS इन्जिनमा पास गर्न सक्छ, जुन त्यसपछि TTS अनुप्रयोगमा पठाइयो, जसले पुस्तकालय लोड गर्नेछ र त्यसपछि यसलाई प्रणाली विशेषाधिकारहरूसँग चलाउनेछ। यो बग पछि फिक्स गरिएको थियो ताकि TTS अनुप्रयोगले TTS इन्जिनबाट आउने डाटालाई मान्य गर्दछ।
यद्यपि, Google मा Androidu 10 ले ENABLE_ROLLBACK प्यारामिटरको साथ स्थापना गरेर अनुप्रयोगहरूलाई रोल ब्याक गर्ने विकल्प प्रस्तुत गर्यो। यसले प्रयोगकर्तालाई यन्त्रमा स्थापित एपको संस्करणलाई अघिल्लो संस्करणमा फर्काउन अनुमति दिन्छ। यो क्षमता सामसुङको टेक्स्ट-टू-स्पीच एप कुनै पनि यन्त्रमा पनि विस्तार भएको छ Galaxy, जुन हाल उपलब्ध छ किनभने लेगेसी TTS एप जुन प्रयोगकर्ताहरूले नयाँ फोनहरूमा फर्काउन सक्छन् तिनीहरूमा पहिले कहिल्यै स्थापना गरिएको थिएन।
सामसुङले तीन महिनादेखि समस्याबारे थाहा पाएको छ
अर्को शब्दमा भन्नुपर्दा, उल्लेखित २०१९ एक्स्प्लोइट प्याच गरिएको छ र TTS एपको अपडेटेड संस्करण वितरण गरिएको छ भने पनि धेरै वर्षपछि रिलिज भएका यन्त्रहरूमा प्रयोगकर्ताहरूका लागि यसलाई स्थापना गर्न र प्रयोग गर्न सजिलो छ। जसरी उनी भन्छन् वेब XDA Developers, Samsung लाई यस तथ्यको बारेमा गत अक्टोबरमा सूचित गरिएको थियो र जनवरीमा K0mraid3 नामका विकासकर्ता समुदायका एक सदस्यले के भयो भनेर थाहा पाउन कम्पनीलाई फेरि सम्पर्क गरे। सैमसंगले जवाफ दियो कि यो AOSP (Android खुला स्रोत परियोजना; पारिस्थितिकी तंत्र को एक भाग Androidu) र Google लाई सम्पर्क गर्न। पिक्सेल फोनमा यो समस्या पुष्टि भएको उनले बताए।
त्यसैले K0mraid3 गुगलमा समस्या रिपोर्ट गर्न गयो, केवल सैमसंग र अरू कसैले पहिले नै त्यसो गरिसकेको पत्ता लगाउन। यो हाल अस्पष्ट छ कि Google ले समस्या समाधान गर्ने बारे कसरी जान्छ, यदि वास्तवमा AOSP संलग्न छ।
तपाईं चासो हुन सक्छ
K0mraid3 अन फोरम XDA ले भन्छ कि प्रयोगकर्ताहरूको लागि आफूलाई सुरक्षित राख्नको लागि सबैभन्दा राम्रो तरिका यो शोषण स्थापना र प्रयोग गर्नु हो। एकचोटि तिनीहरूले गरेपछि, अरू कसैले TTS इन्जिनमा दोस्रो पुस्तकालय लोड गर्न सक्षम हुनेछैन। अर्को विकल्प सैमसंग TTS बन्द वा हटाउन हो।
यो यस समयमा अस्पष्ट छ कि शोषणले यस वर्ष जारी गरिएका उपकरणहरूलाई असर गर्छ। K0mraid3 ले थप्यो कि केहि JDM (संयुक्त विकास निर्माण) आउटसोर्स उपकरणहरू जस्तै Samsung Galaxy A03। यी यन्त्रहरूलाई पुरानो JDM यन्त्रबाट सही रूपमा हस्ताक्षर गरिएको TTS अनुप्रयोग मात्र आवश्यक हुन सक्छ।
