স্মার্টফোন আমাদের অনেকের জীবনের কেন্দ্রবিন্দু। তাদের মাধ্যমে আমরা প্রিয়জনের সাথে যোগাযোগ করি, আমাদের দিনগুলি পরিকল্পনা করি এবং আমাদের জীবনকে সংগঠিত করি। সেজন্য নিরাপত্তা তাদের কাছে এত গুরুত্বপূর্ণ। সমস্যাটি হল যখন একটি শোষণ প্রদর্শিত হয় যা একজন ব্যবহারকারীকে মূলত যেকোনো Samsung ফোনে সম্পূর্ণ সিস্টেম অ্যাক্সেস দেয়।
ব্যবহারকারীরা যারা তাদের স্মার্টফোন কাস্টমাইজ করতে চান তারা এই ধরনের শোষণ থেকে উপকৃত হতে পারেন। সিস্টেমে আরও গভীর অ্যাক্সেস তাদের অনুমতি দেয়, উদাহরণস্বরূপ, একটি GSI (জেনারিক সিস্টেম ইমেজ) বুট করতে বা ডিভাইসের আঞ্চলিক CSC কোড পরিবর্তন করতে। যেহেতু এটি ব্যবহারকারী সিস্টেমের সুবিধা দেয়, এটি একটি বিপজ্জনক উপায়েও ব্যবহার করা যেতে পারে। এই ধরনের একটি শোষণ সমস্ত অনুমতি চেক বাইপাস, সমস্ত অ্যাপ্লিকেশন উপাদান অ্যাক্সেস আছে, সুরক্ষিত সম্প্রচার পাঠায়, ব্যাকগ্রাউন্ড কার্যকলাপ চালায়, এবং আরো অনেক কিছু।
সমস্যা দেখা দিয়েছে টিটিএস আবেদনে
2019 সালে, এটি প্রকাশ করা হয়েছিল যে CVE-2019-16253 লেবেলযুক্ত একটি দুর্বলতা 3.0.02.7 এর আগের সংস্করণগুলিতে Samsung দ্বারা ব্যবহৃত টেক্সট-টু-স্পিচ (TTS) ইঞ্জিনকে প্রভাবিত করে। এই শোষণ আক্রমণকারীদের সুবিধাগুলিকে সিস্টেমের বিশেষাধিকারগুলিতে উন্নীত করার অনুমতি দেয় এবং পরে প্যাচ করা হয়েছিল।
ফটো গ্যালারি
TTS অ্যাপ্লিকেশানটি মূলত TTS ইঞ্জিন থেকে প্রাপ্ত তথ্য অন্ধভাবে গ্রহণ করে। ব্যবহারকারী টিটিএস ইঞ্জিনে একটি লাইব্রেরি পাস করতে পারে, যা পরে টিটিএস অ্যাপ্লিকেশনে পাস করা হয়েছিল, যা লাইব্রেরিটি লোড করবে এবং তারপরে এটি সিস্টেমের সুবিধার সাথে চালাবে। এই বাগটি পরে ঠিক করা হয়েছিল যাতে TTS অ্যাপ্লিকেশনটি TTS ইঞ্জিন থেকে আসা ডেটা যাচাই করে।
তবে গুগল ইন Androidu 10 ENABLE_ROLLBACK প্যারামিটারের সাথে ইনস্টল করে অ্যাপ্লিকেশনগুলিকে রোল ব্যাক করার বিকল্প চালু করেছে। এটি ব্যবহারকারীকে ডিভাইসে ইনস্টল করা অ্যাপ্লিকেশনটির সংস্করণটিকে পূর্ববর্তী সংস্করণে ফিরিয়ে আনার অনুমতি দেয়৷ এই ক্ষমতাটি যেকোন ডিভাইসে স্যামসাং-এর টেক্সট-টু-স্পীচ অ্যাপেও প্রসারিত হয়েছে Galaxy, যা বর্তমানে উপলব্ধ কারণ ব্যবহারকারীরা নতুন ফোনে যে লিগ্যাসি টিটিএস অ্যাপে ফিরে যেতে পারেন তা আগে কখনও ইনস্টল করা হয়নি।
স্যামসাং তিন মাস ধরে সমস্যার কথা জেনেছে
অন্য কথায়, যদিও উল্লিখিত 2019 শোষণটি প্যাচ করা হয়েছে এবং TTS অ্যাপের একটি আপডেট সংস্করণ বিতরণ করা হয়েছে, ব্যবহারকারীদের জন্য এটি বেশ কয়েক বছর পরে প্রকাশিত ডিভাইসগুলিতে ইনস্টল করা এবং ব্যবহার করা সহজ। যেমন তিনি বলেছেন ওয়েব XDA ডেভেলপারস, স্যামসাংকে গত অক্টোবরে এই তথ্য জানানো হয়েছিল এবং জানুয়ারিতে K0mraid3 নামে তার ডেভেলপার সম্প্রদায়ের একজন সদস্য কি ঘটেছে তা জানতে আবার কোম্পানির সাথে যোগাযোগ করেছিলেন। স্যামসাং উত্তর দিয়েছে যে এটি AOSP এর সাথে একটি সমস্যা ছিল (Android ওপেন সোর্স প্রজেক্ট; বাস্তুতন্ত্রের অংশ Androidu) এবং Google এর সাথে যোগাযোগ করতে। তিনি উল্লেখ করেছেন যে এই সমস্যাটি পিক্সেল ফোনে নিশ্চিত করা হয়েছে।
তাই K0mraid3 Google-এর কাছে সমস্যাটি রিপোর্ট করতে গিয়েছিল, শুধুমাত্র স্যামসাং এবং অন্য কেউ ইতিমধ্যে এটি করেছে তা খুঁজে বের করতে। প্রকৃতপক্ষে AOSP জড়িত থাকলে Google কীভাবে সমস্যার সমাধান করবে তা বর্তমানে অস্পষ্ট।
আপনি আগ্রহী হতে পারে
K0mraid3 চালু ফোরাম XDA বলে যে ব্যবহারকারীদের নিজেদের রক্ষা করার সর্বোত্তম উপায় হল এই শোষণটি ইনস্টল করা এবং ব্যবহার করা। একবার তারা করলে, অন্য কেউ টিটিএস ইঞ্জিনে দ্বিতীয় লাইব্রেরি লোড করতে সক্ষম হবে না। আরেকটি বিকল্প হল Samsung TTS বন্ধ করা বা অপসারণ করা।
শোষণটি এই বছর মুক্তি পাওয়া ডিভাইসগুলিকে প্রভাবিত করে কিনা তা এই সময়ে অস্পষ্ট। K0mraid3 যোগ করেছে যে কিছু JDM (জয়েন্ট ডেভেলপমেন্ট ম্যানুফ্যাকচারিং) আউটসোর্স ডিভাইস যেমন স্যামসাং Galaxy A03. এই ডিভাইসগুলির জন্য শুধুমাত্র একটি পুরানো JDM ডিভাইস থেকে একটি সঠিকভাবে স্বাক্ষরিত TTS অ্যাপ্লিকেশনের প্রয়োজন হতে পারে।
