Ponsel pintar adalah pusat kehidupan banyak dari kita. Melalui mereka kita berkomunikasi dengan orang-orang terkasih, merencanakan hari-hari kita dan mengatur hidup kita. Itu sebabnya keselamatan sangat penting bagi mereka. Masalahnya adalah ketika eksploitasi muncul yang memberi pengguna akses sistem lengkap pada ponsel Samsung apa pun.
Pengguna yang suka mengkustomisasi ponsel cerdas mereka bisa mendapatkan keuntungan dari eksploitasi tersebut. Akses yang lebih dalam ke sistem memungkinkan mereka, misalnya, melakukan booting GSI (Generic System Image) atau mengubah kode CSC regional perangkat. Karena ini memberikan hak istimewa sistem kepada pengguna, ini juga dapat digunakan dengan cara yang berbahaya. Eksploitasi seperti itu melewati semua pemeriksaan izin, memiliki akses ke semua komponen aplikasi, mengirimkan siaran yang dilindungi, menjalankan aktivitas latar belakang, dan banyak lagi.
Masalah muncul pada aplikasi TTS
Pada tahun 2019, terungkap bahwa kerentanan berlabel CVE-2019-16253 memengaruhi mesin text-to-speech (TTS) yang digunakan oleh Samsung di versi sebelum 3.0.02.7. Eksploitasi ini memungkinkan penyerang untuk meningkatkan hak istimewa ke hak istimewa sistem dan kemudian ditambal.
Galeri foto
Aplikasi TTS pada dasarnya menerima secara membabi buta data apa pun yang diterimanya dari mesin TTS. Pengguna dapat meneruskan perpustakaan ke mesin TTS, yang kemudian diteruskan ke aplikasi TTS, yang akan memuat perpustakaan dan kemudian menjalankannya dengan hak istimewa sistem. Bug ini kemudian diperbaiki sehingga aplikasi TTS memvalidasi data yang berasal dari mesin TTS.
Namun, Google masuk Androidu 10 memperkenalkan opsi untuk memutar kembali aplikasi dengan menginstalnya dengan parameter ENABLE_ROLLBACK. Hal ini memungkinkan pengguna untuk mengembalikan versi aplikasi yang diinstal pada perangkat ke versi sebelumnya. Kemampuan ini juga diperluas ke aplikasi text-to-speech Samsung di perangkat apa pun Galaxy, yang saat ini tersedia karena aplikasi TTS lama yang dapat digunakan kembali oleh pengguna di ponsel baru belum pernah diinstal sebelumnya.
Samsung telah mengetahui masalah ini selama tiga bulan
Dengan kata lain, meskipun eksploitasi 2019 tersebut telah ditambal dan versi terbaru aplikasi TTS telah didistribusikan, pengguna dapat dengan mudah menginstal dan menggunakannya pada perangkat yang dirilis beberapa tahun kemudian. Seperti yang dia nyatakan jaringan Pengembang XDA, Samsung diberitahu tentang fakta ini pada bulan Oktober lalu dan pada bulan Januari salah satu anggota komunitas pengembangnya bernama K0mraid3 menghubungi perusahaan itu lagi untuk mencari tahu apa yang terjadi. Samsung menjawab bahwa itu adalah masalah dengan AOSP (Android Proyek Sumber Terbuka; bagian dari ekosistem Androidu) dan untuk menghubungi Google. Dia mencatat bahwa masalah ini telah dikonfirmasi pada ponsel Pixel.
Jadi K0mraid3 melaporkan masalahnya ke Google, hanya untuk menemukan bahwa Samsung dan orang lain telah melakukannya. Saat ini tidak jelas bagaimana Google akan menyelesaikan masalah ini, jika memang AOSP terlibat.
Anda mungkin tertarik
K0mraid3 aktif forum XDA menyatakan bahwa cara terbaik bagi pengguna untuk melindungi diri mereka adalah dengan menginstal dan menggunakan eksploitasi ini. Setelah mereka melakukannya, tidak ada orang lain yang dapat memuat perpustakaan kedua ke dalam mesin TTS. Pilihan lainnya adalah mematikan atau menghapus Samsung TTS.
Saat ini masih belum jelas apakah eksploitasi tersebut memengaruhi perangkat yang dirilis tahun ini. K0mraid3 menambahkan bahwa beberapa perangkat outsourcing JDM (Joint Development Manufacturing) seperti Samsung Galaxy A03. Perangkat ini mungkin hanya memerlukan aplikasi TTS yang ditandatangani dengan benar dari perangkat JDM lama.
