Смартфондар біздің көпшілігіміздің өмірінің орталығы болып табылады. Олар арқылы біз жақын адамдарымызбен араласамыз, күндерімізді жоспарлап, өмірімізді реттейміз. Сондықтан олар үшін қауіпсіздік өте маңызды. Мәселе пайдаланушыға негізінен кез келген Samsung телефонында жүйеге толық кіруге мүмкіндік беретін эксплойт пайда болғанда.
Смартфондарын теңшеуді ұнататын пайдаланушылар мұндай эксплуаттардың пайдасын көре алады. Жүйеге тереңірек қол жеткізу оларға, мысалы, GSI (Generic System Image) жүктеуге немесе құрылғының аймақтық CSC кодын өзгертуге мүмкіндік береді. Бұл пайдаланушыға жүйе артықшылықтарын беретіндіктен, оны қауіпті жолмен де пайдалануға болады. Мұндай эксплойт барлық рұқсат тексерулерін айналып өтеді, қолданбаның барлық құрамдастарына қол жеткізе алады, қорғалған таратылымдарды жібереді, фондық әрекеттерді іске қосады және т.б.
Мәселе TTS қолданбасында пайда болды
2019 жылы CVE-2019-16253 деп белгіленген осалдық Samsung 3.0.02.7 нұсқасынан бұрынғы нұсқаларда пайдаланатын мәтінді дыбысқа (TTS) қозғалтқышына әсер ететіні анықталды. Бұл эксплойт шабуылдаушыларға артықшылықтарды жүйелік артықшылықтарға көтеруге мүмкіндік берді және кейінірек түзетілді.
Фотогалерея
TTS қолданбасы негізінен TTS қозғалтқышынан алынған кез келген деректерді соқыр қабылдады. Пайдаланушы кітапхананы TTS қозғалтқышына жібере алады, ол кейін TTS қолданбасына жіберілді, ол кітапхананы жүктеп, содан кейін оны жүйелік артықшылықтармен іске қосады. Бұл қате кейінірек TTS қолданбасы TTS қозғалтқышынан келетін деректерді тексеруі үшін түзетілді.
Дегенмен, Google in Androidu 10 қолданбаларды ENABLE_ROLLBACK параметрімен орнату арқылы кері қайтару опциясын енгізді. Бұл пайдаланушыға құрылғыда орнатылған қолданбаның нұсқасын бұрынғы нұсқасына қайтаруға мүмкіндік береді. Бұл мүмкіндік кез келген құрылғыдағы Samsung-тың мәтінді дыбысқа шығару қолданбасына да кеңейтілді Galaxy, ол қазіргі уақытта қол жетімді, себебі пайдаланушылар жаңа телефондарда қайтара алатын бұрынғы TTS қолданбасы оларға бұрын ешқашан орнатылмаған.
Samsung бұл мәселе туралы үш ай бойы білген
Басқаша айтқанда, аталған 2019 эксплойт патчталған және TTS қолданбасының жаңартылған нұсқасы таратылғанымен, пайдаланушылар оны бірнеше жылдан кейін шығарылған құрылғыларда орнату және пайдалану оңай. Ол мәлімдегендей веб XDA Developers, Samsung бұл туралы өткен қазан айында хабардар болды және қаңтарда K0mraid3 атты әзірлеушілер қауымдастығының мүшелерінің бірі не болғанын білу үшін компанияға тағы хабарласты. Samsung бұл AOSP ақауы деп жауап берді (Android Ашық бастапқы жоба; экожүйенің бөлігі Androidu) және Google-мен байланысу үшін. Ол бұл мәселе Pixel телефонында расталғанын атап өтті.
Сондықтан K0mraid3 мәселені Google-ға хабарлауға барды, тек Samsung екеуі де, басқа біреу де солай жасағанын білді. Егер шынымен AOSP қатысты болса, Google бұл мәселені қалай шешетіні әзірше белгісіз.
Сізді қызықтыруы мүмкін
K0mraid3 қосулы форум XDA пайдаланушылардың өздерін қорғаудың ең жақсы жолы - бұл эксплойді орнату және пайдалану екенін айтады. Олар орындағаннан кейін, екінші кітапхананы TTS қозғалтқышына ешкім жүктей алмайды. Басқа опция - Samsung TTS өшіру немесе жою.
Эксплойт биыл шығарылған құрылғыларға әсер ете ме, жоқ па, әзірге белгісіз. K0mraid3 кейбір JDM (Joint Development Manufacturing) құрылғыларды аутсорсингтен алғанын қосты, мысалы Samsung Galaxy A03. Бұл құрылғылар ескі JDM құрылғысынан дұрыс қол қойылған TTS қолданбасын ғана талап етуі мүмкін.
