Smartfonlar bir çoxlarımızın həyatının mərkəzidir. Onların vasitəsilə biz sevdiklərimizlə ünsiyyət qururuq, günlərimizi planlaşdırırıq və həyatımızı təşkil edirik. Buna görə təhlükəsizlik onlar üçün çox vacibdir. Problem istifadəçiyə hər hansı Samsung telefonunda sistemə tam giriş imkanı verən istismarın ortaya çıxmasıdır.
Smartfonlarını fərdiləşdirməyi sevən istifadəçilər bu cür istismarlardan yararlana bilərlər. Sistemə daha dərindən giriş onlara, məsələn, GSI (Generic System Image) yükləməyə və ya cihazın regional CSC kodunu dəyişməyə imkan verir. Bu istifadəçiyə sistem imtiyazları verdiyi üçün ondan təhlükəli şəkildə də istifadə oluna bilər. Belə bir istismar bütün icazə yoxlamalarından yan keçir, bütün proqram komponentlərinə giriş imkanına malikdir, qorunan yayımlar göndərir, fon fəaliyyətlərini həyata keçirir və s.
Problem TTS tətbiqində yaranıb
2019-cu ildə açıqlanıb ki, CVE-2019-16253 etiketli boşluq Samsung tərəfindən 3.0.02.7-dən əvvəlki versiyalarda istifadə olunan mətndən nitqə (TTS) mühərrikinə təsir göstərir. Bu istismar hücumçulara imtiyazları sistem imtiyazlarına yüksəltməyə imkan verdi və daha sonra yamaq edildi.
Photo Gallery
TTS tətbiqi, TTS mühərrikindən aldığı hər hansı məlumatları kor-koranə qəbul etdi. İstifadəçi kitabxananı TTS mühərrikinə ötürə bilərdi, o, daha sonra kitabxananı yükləyən və sonra onu sistem imtiyazları ilə işlədən TTS tətbiqinə ötürülür. Bu səhv sonradan düzəldildi ki, TTS tətbiqi TTS mühərrikindən gələn məlumatları təsdiq etsin.
Bununla belə, Google in Androidu 10 proqramları ENABLE_ROLLBACK parametri ilə quraşdıraraq geri qaytarmaq seçimini təqdim etdi. Bu, istifadəçiyə cihazda quraşdırılmış proqram versiyasını əvvəlki versiyasına qaytarmağa imkan verir. Bu imkan Samsung-un istənilən cihazdakı mətndən nitqə tətbiqinə də şamil edilmişdir Galaxy, istifadəçilərin yeni telefonlarda istifadə edə biləcəyi köhnə TTS tətbiqi əvvəllər heç vaxt quraşdırılmadığı üçün mövcuddur.
Samsung problemdən üç aydır xəbərdardır
Başqa sözlə, sözügedən 2019 istismarı yamaqlansa və TTS tətbiqinin yenilənmiş versiyası paylansa da, istifadəçilər üçün onu bir neçə ildən sonra buraxılan cihazlarda quraşdırmaq və istifadə etmək asandır. Onun bəyan etdiyi kimi web XDA Developers, Samsung bu barədə keçən oktyabr ayında məlumatlandırıldı və yanvar ayında K0mraid3 adlı inkişaf etdirici icmasının üzvlərindən biri nə baş verdiyini öyrənmək üçün yenidən şirkətə müraciət etdi. Samsung cavab verdi ki, bu AOSP ilə problemdir (Android Açıq Mənbə Layihəsi; ekosistemin bir hissəsidir Androidu) və Google ilə əlaqə saxlayın. O qeyd edib ki, bu məsələ Pixel telefonunda təsdiqlənib.
Beləliklə, K0mraid3 problemi Google-a bildirməyə getdi, ancaq həm Samsungun, həm də başqasının bunu etdiyini tapmaq üçün getdi. Əgər həqiqətən də AOSP iştirak edirsə, Google-un problemi necə həll edəcəyi hələlik bəlli deyil.
Sizi maraqlandıra bilər
K0mraid3 aktivdir forum XDA bildirir ki, istifadəçilərin özlərini qorumaq üçün ən yaxşı yolu bu istismarı quraşdırmaq və istifadə etməkdir. Bunu etdikdən sonra heç kim ikinci kitabxananı TTS mühərrikinə yükləyə bilməyəcək. Başqa bir seçim Samsung TTS-ni söndürmək və ya silməkdir.
İstismarın bu il buraxılan cihazlara təsir edib-etməməsi hələlik bəlli deyil. K0mraid3 əlavə etdi ki, bəzi JDM (Joint Development Manufacturing) kimi cihazları xaricdən alıb. Samsung Galaxy A03. Bu cihazlar yalnız köhnə JDM cihazından düzgün imzalanmış TTS tətbiqini tələb edə bilər.
