智慧型手機是我們許多人生活的核心。透過它們,我們與親人溝通、規劃我們的日子並組織我們的生活。這就是為什麼安全對他們來說如此重要。問題是,當出現漏洞時,用戶可以在任何三星手機上獲得完整的系統存取權限。
喜歡客製化智慧型手機的用戶可以從此類漏洞中受益。例如,對系統的更深入存取允許他們啟動 GSI(通用系統映像)或更改設備的區域 CSC 代碼。由於這為用戶提供了系統權限,因此它也可能以危險的方式使用。此類漏洞繞過所有權限檢查,可以存取所有應用程式元件,發送受保護的廣播,運行後台活動等等。
TTS應用程式出現問題
2019年,有消息稱,三星在2019之前的版本中使用的文字轉語音(TTS)引擎存在一個名為CVE-16253-3.0.02.7的漏洞。該漏洞允許攻擊者將權限提升至系統權限,隨後得到了修補。
Fotogalerie
TTS 應用程式基本上盲目地接受從 TTS 引擎收到的任何資料。使用者可以將庫傳遞給 TTS 引擎,然後將其傳遞給 TTS 應用程序,TTS 應用程式將載入該庫,然後以系統權限運行它。此錯誤後來得到修復,以便 TTS 應用程式驗證來自 TTS 引擎的資料。
然而,谷歌在 Androidu 10 引入了透過使用 ENABLE_ROLLBACK 參數安裝應用程式來回滾應用程式的選項。這允許用戶將裝置上安裝的應用程式版本還原到先前的版本。此功能還擴展到任何設備上的三星文字轉語音應用程式 Galaxy,目前可用,因為用戶可以在新手機上恢復的舊版 TTS 應用程式以前從未安裝過。
三星已經知道這個問題三個月了
換句話說,儘管提到的 2019 年漏洞已經被修補並且 TTS 應用程式的更新版本已經發布,但用戶仍可以輕鬆地在幾年後發布的裝置上安裝和使用它。正如他所說 捲筒紙 XDA 開發者,三星去年 0 月獲悉這一事實,3 月,其開發者社群的一名名為 KXNUMXmraidXNUMX 的成員再次聯繫該公司以了解發生了什麼。三星回覆稱是AOSP的問題(Android 開源專案;生態系的一部分 Androidu) 並聯絡 Google。他指出,這個問題已在 Pixel 手機上得到證實。
於是K0mraid3去向Google報告這個問題,卻發現三星和其他人都已經這麼做了。如果 AOSP 確實參與其中,目前尚不清楚 Google 將如何解決該問題。
您可能感興趣
K0mraid3 開啟 論壇 XDA 指出,使用者保護自己的最佳方法是安裝和使用此漏洞。一旦他們這樣做,其他人將無法將第二個庫載入到 TTS 引擎中。另一個選項是關閉或刪除 Samsung TTS。
目前尚不清楚該漏洞是否會影響今年發布的設備。 K0mraid3 補充說,一些 JDM(共同開發製造)外包設備,如 Samsung Galaxy A03。這些設備可能只需要舊版 JDM 設備的正確簽署的 TTS 應用程式。
