Смартфондор көпчүлүгүбүздүн жашообуздун борбордук бөлүгү болуп саналат. Алар аркылуу жакындарыбыз менен баарлашып, күнүбүздү пландап, жашообузду иретке келтиребиз. Ошондуктан алар үчүн коопсуздук абдан маанилүү. Көйгөй колдонуучуга негизинен каалаган Samsung телефонунда тутумга толук кирүү мүмкүнчүлүгүн берген эксплойт пайда болгондо.
Смартфондорун ыңгайлаштырууну жактырган колдонуучулар мындай эксплуатациялардан пайдалана алышат. Системага тереңирээк кирүү аларга, мисалы, GSI (Жалпы система сүрөтү) жүктөө же аппараттын аймактык CSC кодун өзгөртүүгө мүмкүндүк берет. Бул колдонуучу тутум артыкчылыктарын бергендиктен, ал кооптуу түрдө да колдонулушу мүмкүн. Мындай эксплуатация бардык уруксат текшерүүлөрүн кыйгап өтөт, колдонмонун бардык компоненттерине кире алат, корголгон берүүлөрдү жөнөтөт, фондо аракеттерди жүргүзөт жана башкалар.
Көйгөй TTS тиркемесинде пайда болгон
2019-жылы CVE-2019-16253 деп белгиленген алсыздык Samsung тарабынан 3.0.02.7ден мурунку версияларда колдонулган тексттен сөзгө (TTS) кыймылдаткычына таасир этээри аныкталган. Бул эксплуатация чабуулчуларга артыкчылыктарды системанын артыкчылыктарына көтөрүүгө мүмкүндүк берди жана кийинчерээк оңдоодон өткөрүлдү.
Фотогалерея
TTS тиркемеси негизинен TTS кыймылдаткычынан алынган бардык маалыматтарды сокур кабыл алды. Колдонуучу китепкананы TTS кыймылдаткычына өткөрүп бере алат, ал андан кийин TTS тиркемесине өткөрүлүп берилди, ал китепкананы жүктөп, андан кийин аны система артыкчылыктары менен иштетет. Бул мүчүлүштүк кийинчерээк TTS тиркемеси TTS кыймылдаткычынан келген маалыматтарды текшергидей кылып оңдолду.
Бирок, Google in Androidu 10 тиркемелерди ENABLE_ROLLBACK параметри менен орнотуу аркылуу артка кайтаруу опциясын киргизди. Бул колдонуучуга түзмөктө орнотулган тиркеменин версиясын мурунку версиясына кайтарууга мүмкүндүк берет. Бул мүмкүнчүлүк ошондой эле Samsung'дун каалаган түзмөктөгү текстти сүйлөөгө колдонмосуна жайылды Galaxy, ал учурда жеткиликтүү, анткени колдонуучулар жаңы телефондорго кайрыла ала турган эски TTS колдонмосу буга чейин аларга орнотулган эмес.
Samsung бул көйгөй тууралуу үч айдан бери билет
Башкача айтканда, айтылган 2019 эксплойт жаңыланган жана TTS колдонмосунун жаңыртылган версиясы таратылганына карабастан, колдонуучулар аны бир нече жылдан кийин чыгарылган түзмөктөрдө орнотуу жана колдонуу оңой. Ал белгилегендей желе XDA Developers, Samsung бул тууралуу өткөн жылдын октябрь айында кабардар болгон жана январда анын K0mraid3 аттуу иштеп чыгуучулар коомчулугунун мүчөлөрүнүн бири эмне болгонун билүү үчүн компанияга кайра кайрылган. Samsung бул AOSP менен көйгөй деп жооп берди (Android Open Source Project; экосистеманын бир бөлүгү Androidu) жана Google менен байланышыңыз. Ал белгилегендей, бул маселе Pixel телефонунда тастыкталган.
Ошентип, K0mraid3 Google компаниясына көйгөй тууралуу кабарлоо үчүн жөнөп кетти, бирок Samsung да, башка бирөө да буга чейин эле муну жасаган. Эгер чындап эле AOSP катышса, Google бул көйгөйдү кантип чечээри азырынча белгисиз.
Сиз кызыкдар болушу мүмкүн
K0mraid3 боюнча форум XDA колдонуучулар үчүн өздөрүн коргоонун эң жакшы жолу бул эксплуатты орнотуу жана колдонуу экенин белгилейт. Алар жасагандан кийин, экинчи китепкананы TTS кыймылдаткычына эч ким жүктөй албайт. Дагы бир параметр Samsung TTS өчүрүү же алып салуу болуп саналат.
Бул эксплуатация быйыл чыгарылган түзмөктөргө таасир этеби же жокпу азырынча белгисиз. K0mraid3 кошумчалагандай, кээ бир JDM (Joint Development Manufacturing) түзмөктөрдү аутсорсингге алган, мисалы Samsung Galaxy A03. Бул түзмөктөр эски JDM түзмөгүнөн туура кол коюлган TTS тиркемесин гана талап кылышы мүмкүн.
