स्मार्टफोन हममें से कई लोगों के जीवन का केंद्र है। इनके माध्यम से हम प्रियजनों के साथ संवाद करते हैं, अपने दिनों की योजना बनाते हैं और अपने जीवन को व्यवस्थित करते हैं। इसीलिए सुरक्षा उनके लिए बहुत महत्वपूर्ण है। समस्या तब होती है जब एक शोषण प्रकट होता है जो उपयोगकर्ता को मूल रूप से किसी भी सैमसंग फोन पर संपूर्ण सिस्टम एक्सेस प्रदान करता है।
जो उपयोगकर्ता अपने स्मार्टफ़ोन को कस्टमाइज़ करना पसंद करते हैं वे ऐसे कारनामों से लाभ उठा सकते हैं। सिस्टम तक गहरी पहुंच उन्हें, उदाहरण के लिए, जीएसआई (जेनेरिक सिस्टम इमेज) बूट करने या डिवाइस के क्षेत्रीय सीएससी कोड को बदलने की अनुमति देती है। चूंकि यह उपयोगकर्ता को सिस्टम विशेषाधिकार देता है, इसलिए इसका उपयोग खतरनाक तरीके से भी किया जा सकता है। ऐसा शोषण सभी अनुमति जांचों को दरकिनार कर देता है, सभी एप्लिकेशन घटकों तक पहुंच रखता है, संरक्षित प्रसारण भेजता है, पृष्ठभूमि गतिविधियां चलाता है और बहुत कुछ करता है।
समस्या टीटीएस एप्लिकेशन में उत्पन्न हुई
2019 में, यह खुलासा किया गया था कि CVE-2019-16253 लेबल वाली एक भेद्यता सैमसंग द्वारा 3.0.02.7 से पहले के संस्करणों में उपयोग किए जाने वाले टेक्स्ट-टू-स्पीच (टीटीएस) इंजन को प्रभावित करती है। इस कारनामे ने हमलावरों को विशेषाधिकारों को सिस्टम विशेषाधिकारों तक बढ़ाने की अनुमति दी और बाद में इसे पैच कर दिया गया।
फोटो गैलरी
टीटीएस एप्लिकेशन ने मूल रूप से टीटीएस इंजन से जो भी डेटा प्राप्त किया, उसे आँख बंद करके स्वीकार कर लिया। उपयोगकर्ता एक लाइब्रेरी को टीटीएस इंजन में भेज सकता है, जिसे बाद में टीटीएस एप्लिकेशन में भेज दिया जाता है, जो लाइब्रेरी को लोड करेगा और फिर इसे सिस्टम विशेषाधिकारों के साथ चलाएगा। इस बग को बाद में ठीक कर दिया गया ताकि टीटीएस एप्लिकेशन टीटीएस इंजन से आने वाले डेटा को मान्य कर सके।
हालाँकि, Google में Androidयू 10 ने ENABLE_ROLLBACK पैरामीटर के साथ एप्लिकेशन इंस्टॉल करके रोलबैक करने का विकल्प पेश किया। यह उपयोगकर्ता को डिवाइस पर इंस्टॉल किए गए एप्लिकेशन के संस्करण को उसके पिछले संस्करण में वापस लाने की अनुमति देता है। यह क्षमता किसी भी डिवाइस पर सैमसंग के टेक्स्ट-टू-स्पीच ऐप तक भी विस्तारित हो गई है Galaxy, जो वर्तमान में उपलब्ध है क्योंकि लीगेसी टीटीएस ऐप जिसे उपयोगकर्ता नए फोन पर वापस कर सकते हैं, पहले कभी भी उन पर इंस्टॉल नहीं किया गया था।
सैमसंग को इस समस्या के बारे में तीन महीने से पता है
दूसरे शब्दों में, भले ही उल्लिखित 2019 शोषण को पैच कर दिया गया है और टीटीएस ऐप का एक अद्यतन संस्करण वितरित किया गया है, उपयोगकर्ताओं के लिए इसे कई वर्षों बाद जारी किए गए उपकरणों पर इंस्टॉल करना और उपयोग करना आसान है। जैसा कि वह बताते हैं वेब XDA डेवलपर्स, सैमसंग को इस तथ्य के बारे में पिछले अक्टूबर में सूचित किया गया था और जनवरी में K0mraid3 नाम से इसके डेवलपर समुदाय के सदस्यों में से एक यह जानने के लिए फिर से कंपनी के पास पहुंचा कि क्या हुआ था। सैमसंग ने उत्तर दिया कि यह AOSP के साथ एक समस्या थी (Android ओपन सोर्स प्रोजेक्ट; पारिस्थितिकी तंत्र का हिस्सा Androidयू) और Google से संपर्क करने के लिए। उन्होंने कहा कि पिक्सेल फोन पर इस समस्या की पुष्टि की गई है।
इसलिए K0mraid3 Google को समस्या की रिपोर्ट करने गया, लेकिन पता चला कि सैमसंग और कोई अन्य व्यक्ति पहले ही ऐसा कर चुके थे। वर्तमान में यह स्पष्ट नहीं है कि Google समस्या का समाधान कैसे करेगा, यदि वास्तव में AOSP इसमें शामिल है।
आपकी रुचि हो सकती है
K0mraid3 चालू मंच XDA का कहना है कि उपयोगकर्ताओं के लिए खुद को सुरक्षित रखने का सबसे अच्छा तरीका इस एक्सप्लॉइट को इंस्टॉल करना और उसका उपयोग करना है। एक बार जब वे ऐसा कर लेते हैं, तो कोई भी दूसरी लाइब्रेरी को टीटीएस इंजन में लोड नहीं कर पाएगा। दूसरा विकल्प सैमसंग टीटीएस को बंद करना या हटाना है।
इस समय यह स्पष्ट नहीं है कि यह शोषण इस वर्ष जारी किए गए उपकरणों को प्रभावित करता है या नहीं। K0mraid3 ने कहा कि कुछ JDM (संयुक्त विकास विनिर्माण) जैसे उपकरणों को आउटसोर्स किया गया है सैमसंग Galaxy A03. इन उपकरणों को केवल पुराने जेडीएम डिवाइस से उचित रूप से हस्ताक्षरित टीटीएस एप्लिकेशन की आवश्यकता हो सकती है।
