Smartphones sinn zentral am Liewen vu ville vun eis. Duerch si kommunizéieren mir mat de beléiftenen, plangen eis Deeg an organiséieren eist Liewen. Dofir ass Sécherheet fir si sou wichteg. De Problem ass wann en Ausbeutung erschéngt, deen e Benotzer komplette Systemzougang op bal all Samsung Telefon gëtt.
Benotzer déi hir Smartphones gär personaliséiere kënnen vun esou Ausnotzen profitéieren. Deeper Zougang zum System erlaabt hinnen zum Beispill e GSI (Generic System Image) ze booten oder de regionale CSC Code vum Apparat z'änneren. Well dëst de Benotzer System Privilegien gëtt, kann et och op eng geféierlech Manéier benotzt ginn. Esou en Ausbeutung ëmgeet all Erlaabniskontrollen, huet Zougang zu all Applikatiounskomponenten, schéckt geschützte Sendungen, leeft Hannergrondaktivitéiten a vill méi.
De Problem ass an der TTS Applikatioun entstanen
Am Joer 2019 gouf opgedeckt datt eng Schwachstelle mam Label CVE-2019-16253 den Text-to-Speech (TTS) Motor beaflosst, dee vu Samsung a Versioune fréier wéi 3.0.02.7 benotzt gëtt. Dësen Ausbeutung huet den Ugräifer erlaabt Privilegien op System Privilegien z'erhéijen a gouf spéider gepatched.
Fotogalerie
D'TTS Applikatioun huet grondsätzlech blann akzeptéiert all Daten déi se vum TTS-Motor kritt hunn. De Benotzer konnt eng Bibliothéik un den TTS-Motor weiderginn, deen dann un d'TTS-Applikatioun weidergeleet gouf, déi d'Bibliothéik lueden an dann mat Systemprivilegien ausféieren. Dëse Feeler gouf spéider fixéiert sou datt d'TTS Applikatioun Daten aus dem TTS Motor validéiert.
Wéi och ëmmer, Google an Androidu 10 huet d'Optioun agefouert fir Uwendungen zréckzebréngen andeems se se mam ENABLE_ROLLBACK Parameter installéiert hunn. Dëst erlaabt de Benotzer d'Versioun vun der Applikatioun déi um Apparat installéiert ass op seng viregt Versioun zréckzekréien. Dës Fäegkeet huet och op Samsung's Text-to-Speech App op all Apparat erweidert Galaxy, déi momentan verfügbar ass, well d'legacy TTS App, op déi d'Benotzer op neien Telefone kënnen zréckzéien, war nach ni op hinnen installéiert.
Samsung weess iwwer de Problem fir dräi Méint
An anere Wierder, och wann de genannten 2019 Ausbeutung gepatch gouf an eng aktualiséiert Versioun vun der TTS App verdeelt gouf, ass et einfach fir d'Benotzer et op Apparater ze installéieren an ze benotzen déi e puer Joer méi spéit verëffentlecht ginn. Wéi hie seet Web XDA Entwéckler, Samsung gouf vun dëser Tatsaach am leschte Oktober informéiert an am Januar ee vun de Membere vu senger Entwécklergemeinschaft mam Numm K0mraid3 huet d'Firma erëm kontaktéiert fir erauszefannen wat geschitt ass. Samsung huet geäntwert datt et e Problem mat AOSP war (Android Open Source Projet; Deel vum Ökosystem Androidu) a fir Google ze kontaktéieren. Hien huet bemierkt datt dëst Thema um Pixel Telefon bestätegt gouf.
Also ass de K0mraid3 gaang fir de Problem op Google ze berichten, just fir ze fannen datt béid Samsung an een aneren dat scho gemaach hunn. Et ass de Moment net kloer wéi Google de Problem wäert léisen, ob AOSP wierklech involvéiert ass.
Dir kéint interesséiert sinn an
K0mraid3 op Forum XDA seet datt de beschte Wee fir d'Benotzer sech selwer ze schützen ass dës Exploit z'installéieren an ze benotzen. Wann se dat maachen, kann keen aneren déi zweet Bibliothéik an den TTS-Motor lueden. Eng aner Optioun ass Samsung TTS auszeschalten oder ze läschen.
Et ass zu dësem Zäitpunkt net kloer ob den Ausbeutung Apparater beaflosst déi dëst Joer verëffentlecht ginn. K0mraid3 huet bäigefüügt datt e puer JDM (Joint Development Manufacturing) outsourced Geräter wéi z. Samsung Galaxy A03. Dës Apparater kënnen nëmmen eng richteg ënnerschriwwen TTS Applikatioun vun engem eelere JDM Apparat erfuerderen.
