الهواتف الذكية أمر أساسي في حياة الكثير منا. ومن خلالهم نتواصل مع أحبائنا ونخطط لأيامنا وننظم حياتنا. ولهذا السبب فإن السلامة مهمة جدًا بالنسبة لهم. المشكلة هي عندما يظهر استغلال يمنح المستخدم إمكانية الوصول الكامل إلى النظام على أي هاتف Samsung.
يمكن للمستخدمين الذين يرغبون في تخصيص هواتفهم الذكية الاستفادة من مثل هذه الثغرات. يتيح لهم الوصول الأعمق إلى النظام، على سبيل المثال، تشغيل GSI (صورة النظام العامة) أو تغيير رمز CSC الإقليمي للجهاز. وبما أن هذا يمنح امتيازات نظام المستخدم، فمن الممكن أيضًا استخدامه بطريقة خطيرة. يتجاوز هذا الاستغلال جميع عمليات التحقق من الأذونات، ويتمتع بإمكانية الوصول إلى جميع مكونات التطبيق، ويرسل عمليات بث محمية، ويقوم بتشغيل أنشطة في الخلفية، وغير ذلك الكثير.
نشأت المشكلة في تطبيق TTS
في عام 2019، تم الكشف عن وجود ثغرة أمنية تحمل اسم CVE-2019-16253 تؤثر على محرك تحويل النص إلى كلام (TTS) الذي تستخدمه سامسونج في الإصدارات الأقدم من 3.0.02.7. سمح هذا الاستغلال للمهاجمين برفع الامتيازات إلى امتيازات النظام وتم تصحيحها لاحقًا.
معرض الصور
يقبل تطبيق تحويل النص إلى كلام بشكل أعمى أي بيانات يتلقاها من محرك تحويل النص إلى كلام. يمكن للمستخدم تمرير مكتبة إلى محرك تحويل النص إلى كلام، والذي تم تمريره بعد ذلك إلى تطبيق تحويل النص إلى كلام، والذي سيقوم بتحميل المكتبة ثم تشغيلها بامتيازات النظام. تم إصلاح هذا الخطأ لاحقًا حتى يتمكن تطبيق TTS من التحقق من صحة البيانات الواردة من محرك TTS.
ومع ذلك، جوجل في Androidقدم u 10 خيار استرجاع التطبيقات عن طريق تثبيتها باستخدام المعلمة ENABLE_ROLLBACK. يتيح ذلك للمستخدم إرجاع إصدار التطبيق المثبت على الجهاز إلى نسخته السابقة. وقد امتدت هذه الإمكانية أيضًا إلى تطبيق سامسونج لتحويل النص إلى كلام على أي جهاز Galaxy، وهو متاح حاليًا لأن تطبيق TTS القديم الذي يمكن للمستخدمين العودة إليه على الهواتف الجديدة لم يتم تثبيته عليهم من قبل.
لقد علمت شركة Samsung بالمشكلة لمدة ثلاثة أشهر
بمعنى آخر، على الرغم من تصحيح ثغرة 2019 المذكورة وتوزيع نسخة محدثة من تطبيق TTS، فمن السهل على المستخدمين تثبيته واستخدامه على الأجهزة التي تم إصدارها بعد عدة سنوات. كما يقول الويب مطوري XDA، تم إبلاغ شركة Samsung بهذه الحقيقة في أكتوبر الماضي، وفي يناير قام أحد أعضاء مجتمع المطورين التابع لها والذي يحمل الاسم K0mraid3 بالتواصل مع الشركة مرة أخرى لمعرفة ما حدث. ردت سامسونج بأن هناك مشكلة في AOSP (Android مشروع مفتوح المصدر؛ جزء من النظام البيئي Androidش) والاتصال بجوجل. وأشار إلى أنه تم تأكيد هذه المشكلة على هاتف Pixel.
لذلك ذهب K0mraid3 لإبلاغ Google بالمشكلة، ليجد أن Samsung وشخصًا آخر قد فعلوا ذلك بالفعل. من غير الواضح حاليًا كيف ستتبع Google حل المشكلة، إذا كانت AOSP متورطة بالفعل.
يمكن أن تكون مهتمًا بـ
K0mraid3 على المنتدى ينص XDA على أن أفضل طريقة للمستخدمين لحماية أنفسهم هي تثبيت هذا الاستغلال واستخدامه. بمجرد القيام بذلك، لن يتمكن أي شخص آخر من تحميل المكتبة الثانية في محرك تحويل النص إلى كلام (TTS). هناك خيار آخر وهو إيقاف تشغيل Samsung TTS أو إزالته.
ومن غير الواضح في الوقت الحالي ما إذا كانت هذه الثغرة تؤثر على الأجهزة التي تم إصدارها هذا العام. أضاف K0mraid3 أن بعض أجهزة JDM (تصنيع التطوير المشترك) تستعين بمصادر خارجية مثل سامسونج Galaxy A03. قد تتطلب هذه الأجهزة فقط تطبيق تحويل النص إلى كلام (TTS) موقع بشكل صحيح من جهاز JDM قديم.
