Simu mahiri ni muhimu kwa maisha ya wengi wetu. Kupitia wao tunawasiliana na wapendwa, kupanga siku zetu na kupanga maisha yetu. Ndiyo maana usalama ni muhimu sana kwao. Shida ni wakati unyonyaji unaonekana ambao unampa mtumiaji ufikiaji kamili wa mfumo kwenye simu yoyote ya Samsung.
Watumiaji wanaopenda kubinafsisha simu zao mahiri wanaweza kunufaika kutokana na matumizi hayo. Ufikiaji wa kina wa mfumo huwaruhusu, kwa mfano, kuwasha GSI (Picha ya Mfumo wa Jumla) au kubadilisha msimbo wa eneo wa CSC wa kifaa. Kwa kuwa hii inampa upendeleo wa mfumo wa mtumiaji, inaweza pia kutumika kwa njia hatari. Utumizi kama huo hupita ukaguzi wote wa ruhusa, unaweza kufikia vipengele vyote vya programu, hutuma matangazo yanayolindwa, huendesha shughuli za chinichini, na mengine mengi.
Tatizo lilizuka katika maombi ya TTS
Mnamo 2019, ilifichuliwa kuwa athari inayoitwa CVE-2019-16253 inaathiri injini ya maandishi-kwa-hotuba (TTS) inayotumiwa na Samsung katika matoleo ya mapema zaidi ya 3.0.02.7. Unyonyaji huu uliwaruhusu washambuliaji kuinua marupurupu kwa upendeleo wa mfumo na baadaye ulitiwa viraka.
picha Nyumba ya sanaa
Programu ya TTS kimsingi ilikubali kwa upofu data yoyote iliyopokea kutoka kwa injini ya TTS. Mtumiaji anaweza kupitisha maktaba kwa injini ya TTS, ambayo baadaye ilipitishwa kwa programu ya TTS, ambayo ingepakia maktaba na kuiendesha kwa upendeleo wa mfumo. Hitilafu hii ilirekebishwa baadaye ili programu ya TTS ithibitishe data inayotoka kwa injini ya TTS.
Hata hivyo, Google katika Androidu 10 ilianzisha chaguo la kurudisha nyuma programu kwa kuzisakinisha kwa kigezo cha ENABLE_ROLLBACK. Hii inaruhusu mtumiaji kurejesha toleo la programu iliyosakinishwa kwenye kifaa hadi toleo lake la awali. Uwezo huu pia umepanuliwa hadi kwenye programu ya Samsung ya kutuma maandishi-hadi-hotuba kwenye kifaa chochote Galaxy, ambayo inapatikana kwa sasa kwa sababu programu ya TTS ambayo watumiaji wanaweza kurejelea kwenye simu mpya haikuwahi kusakinishwa kwenye hizo hapo awali.
Samsung imejua kuhusu tatizo hilo kwa muda wa miezi mitatu
Kwa maneno mengine, ingawa matumizi yaliyotajwa ya 2019 yamenakiliwa na toleo lililosasishwa la programu ya TTS limesambazwa, ni rahisi kwa watumiaji kulisakinisha na kulitumia kwenye vifaa vilivyotolewa miaka kadhaa baadaye. Kama anavyosema mtandao Wasanidi wa XDA, Samsung iliarifiwa kuhusu ukweli huu Oktoba iliyopita na mnamo Januari mmoja wa wanachama wa jumuiya yake ya wasanidi anayejulikana kwa jina la K0mraid3 alifikia kampuni tena ili kujua nini kilifanyika. Samsung ilijibu kuwa ni tatizo na AOSP (Android Mradi wa Chanzo Huria; sehemu ya mfumo wa ikolojia Androidu) na kuwasiliana na Google. Alibainisha kuwa suala hili limethibitishwa kwenye simu ya Pixel.
Kwa hivyo K0mraid3 ilienda kuripoti tatizo kwa Google, na kugundua kuwa Samsung na mtu mwingine tayari walikuwa wamefanya hivyo. Kwa sasa haijulikani jinsi Google itafanya kutatua tatizo, ikiwa kweli AOSP inahusika.
Unaweza kupendezwa na
K0mraid3 imewashwa jukwaa XDA inasema kuwa njia bora ya watumiaji kujilinda ni kusakinisha na kutumia unyonyaji huu. Wakishafanya hivyo, hakuna mtu mwingine atakayeweza kupakia maktaba ya pili kwenye injini ya TTS. Chaguo jingine ni kuzima au kuondoa Samsung TTS.
Haijulikani kwa wakati huu ikiwa unyonyaji huathiri vifaa vilivyotolewa mwaka huu. K0mraid3 iliongeza kuwa baadhi ya vifaa vya JDM (Joint Development Manufacturing) vilitoa vifaa vya nje kama vile. Samsung Galaxy A03. Vifaa hivi vinaweza tu kuhitaji programu ya TTS iliyotiwa sahihi ipasavyo kutoka kwa kifaa cha zamani cha JDM.
