Паметните телефони се централни во животите на многумина од нас. Преку нив комуницираме со најблиските, ги планираме деновите и си го организираме животот. Затоа безбедноста им е толку важна. Проблемот е кога ќе се појави експлоат што му дава на корисникот целосен системски пристап на во основа секој телефон на Samsung.
Корисниците кои сакаат да ги приспособат своите паметни телефони можат да имаат корист од таквите експлоатирања. Подлабок пристап до системот им овозможува, на пример, да подигнат GSI (Generic System Image) или да го променат регионалниот CSC код на уредот. Бидејќи ова му дава на корисничкиот систем привилегии, може да се користи и на опасен начин. Таквата експлоатација ги заобиколува сите проверки на дозволи, има пристап до сите компоненти на апликацијата, испраќа заштитени преноси, извршува активности во заднина и многу повеќе.
Проблемот се појави во апликацијата TTS
Во 2019 година, беше откриено дека ранливоста означена со CVE-2019-16253 влијае на моторот за текст-во-говор (TTS) што го користи Samsung во верзии порано од 3.0.02.7. Овој експлоат им овозможи на напаѓачите да ги подигнат привилегиите на системски привилегии и подоцна беше закрпен.
Фото галерија
Апликацијата TTS во основа слепо ги прифаќаше сите податоци што ги добиваше од моторот TTS. Корисникот можеше да предаде библиотека на моторот TTS, кој потоа беше предаден на апликацијата TTS, која ќе ја вчита библиотеката и потоа ќе ја стартуваше со системски привилегии. Оваа грешка подоцна беше поправена така што апликацијата TTS ги потврдува податоците што доаѓаат од моторот TTS.
Сепак, Google во Androidu 10 ја воведе опцијата за враќање назад на апликациите со нивно инсталирање со параметарот ENABLE_ROLLBACK. Ова му овозможува на корисникот да ја врати верзијата на апликацијата инсталирана на уредот на претходната верзија. Оваа способност се прошири и на апликацијата за текст во говор на Samsung на кој било уред Galaxy, која е моментално достапна затоа што на нив никогаш претходно не била инсталирана старата апликација TTS на која корисниците можат да се вратат на новите телефони.
Samsung знае за проблемот веќе три месеци
Со други зборови, иако споменатиот експлоат за 2019 година е закрпен и дистрибуирана е ажурирана верзија на апликацијата TTS, на корисниците им е лесно да ја инсталираат и користат на уредите објавени неколку години подоцна. Како што наведува веб- XDA Developers, Samsung беше информиран за овој факт минатиот октомври и во јануари еден од членовите на заедницата на развивачи по име K0mraid3 повторно се обрати до компанијата за да открие што се случило. Samsung одговори дека е проблем со AOSP (Android Проект со отворен код; дел од екосистемот Androidu) и да контактирате со Google. Тој истакна дека ова прашање е потврдено на телефонот Pixel.
Така, K0mraid3 отиде да го пријави проблемот во Google, само за да открие дека и Samsung и некој друг веќе го сториле тоа. Во моментов не е јасно како Google ќе се обиде да го реши проблемот, ако навистина AOSP е вклучен.
Може да ве интересира
K0mraid3 на форум XDA наведува дека најдобар начин корисниците да се заштитат е да го инсталираат и користат овој експлоат. Откако ќе го направат тоа, никој друг нема да може да ја вчита втората библиотека во моторот TTS. Друга опција е да го исклучите или отстраните Samsung TTS.
Засега не е јасно дали експлоатацијата влијае на уредите објавени оваа година. K0mraid3 додаде дека некои JDM (Joint Development Manufacturing) аутсорсинг уреди како што се Samsung Galaxy A03. Овие уреди може да бараат само правилно потпишана TTS апликација од постар JDM уред.
