I telefoni intelligenti sò centrali in a vita di parechji di noi. Per mezu di elli cumunicemu cù i so amati, pianificemu i nostri ghjorni è urganizemu a nostra vita. Hè per quessa chì a sicurità hè cusì impurtante per elli. U prublema hè quandu una splutazioni appare chì dà un accessu à u sistema cumpletu di l'utilizatori in praticamente qualsiasi telefunu Samsung.
L'utilizatori chì piace à persunalizà i so smartphones ponu prufittà di tali sfruttamenti. L'accessu più profundo à u sistema li permette, per esempiu, di boot una GSI (Image di Sistema Generic) o cambià u codice CSC regiunale di u dispusitivu. Siccomu questu dà i privilegi di u sistema di l'utilizatori, pò ancu esse usatu in modu periculosu. Un tali sfruttamentu bypassa tutti i cuntrolli di permessu, hà accessu à tutti i cumpunenti di l'applicazione, manda trasmissioni prutette, esegue attività di fondo, è assai di più.
U prublema hè stata in l'applicazione TTS
In u 2019, hè statu divulgatu chì una vulnerabilità marcata CVE-2019-16253 afecta u mutore di testu à voce (TTS) utilizatu da Samsung in versioni precedenti à 3.0.02.7. Stu sfruttamentu hà permessu à l'attaccanti di elevà i privilegi à i privileggi di u sistema è hè statu dopu patched.
Fotogaleria
L'applicazioni TTS basamente accettava a cieca qualunque dati hà ricevutu da u mutore TTS. L'utilizatore puderia passà una biblioteca à u mutore TTS, chì hè stata poi passata à l'applicazione TTS, chì carica a biblioteca è poi eseguisce cù privilegi di sistema. Stu bug hè statu riparatu dopu in modu chì l'applicazione TTS cunvalida i dati chì venenu da u mutore TTS.
Tuttavia, Google in Androidu 10 hà introduttu l'opzione per rinvià l'applicazioni installendu cù u paràmetru ENABLE_ROLLBACK. Questu permette à l'utilizatore per rinvià a versione di l'applicazione installata in u dispositivu à a so versione precedente. Sta capacità hè ancu allargata à l'app di testu à voce di Samsung in ogni dispositivu Galaxy, chì hè attualmente dispunibule perchè l'app TTS legacy chì l'utilizatori ponu vultà in i novi telefoni ùn hè mai stata installata prima.
Samsung hà cunnisciutu di u prublema per trè mesi
In altri palori, ancu s'è u sfruttamentu 2019 mintuatu hè statu patched è una versione aghjurnata di l'app TTS hè stata distribuita, hè faciule per l'utilizatori à stallà è aduprà in i dispositi liberati parechji anni dopu. Cum'ellu dice Web Sviluppatori XDA, Samsung hè statu infurmatu di questu fattu l'ottobre scorsu è in ghjennaghju unu di i so membri di a cumunità di sviluppatori chì passanu da u nome K0mraid3 hà righjuntu à a cumpagnia di novu per sapè ciò chì hè accadutu. Samsung hà rispostu chì era un prublema cù AOSP (Android Prughjettu Open Source; parte di l'ecosistema Androidu) è per cuntattà Google. Hà nutatu chì stu prublema hè stata cunfirmata nantu à u telefunu Pixel.
Allora K0mraid3 andò à rapportà u prublema à Google, solu per truvà chì Samsung è qualcunu l'avianu digià fattu. Attualmente ùn hè micca chjaru cumu Google farà per risolve u prublema, se veramente AOSP hè implicatu.
Pudete esse interessatu
K0mraid3 on foru XDA dichjara chì u megliu modu per l'utilizatori per pruteggiri hè di stallà è aduprà stu sfruttamentu. Una volta ch'elli facenu, nimu hà da pudè carricà a seconda biblioteca in u mutore TTS. Un'altra opzione hè di disattivà o sguassà Samsung TTS.
Ùn hè chjaru per questu ora se u sfruttamentu affetta i dispositi liberati questu annu. K0mraid3 hà aghjustatu chì certi dispositi JDM (Joint Development Manufacturing) esternalizzati cum'è Samsung Galaxy A03. Questi dispositi ponu esse solu bisognu di una applicazione TTS firmata currettamente da un dispositivu JDM più anticu.
