اسمارٹ فونز ہم میں سے بہت سے لوگوں کی زندگیوں میں مرکزی حیثیت رکھتے ہیں۔ ان کے ذریعے ہم اپنے پیاروں کے ساتھ بات چیت کرتے ہیں، اپنے دنوں کی منصوبہ بندی کرتے ہیں اور اپنی زندگیوں کو منظم کرتے ہیں۔ اسی لیے ان کے لیے حفاظت بہت اہم ہے۔ مسئلہ تب ہوتا ہے جب ایک استحصال ظاہر ہوتا ہے جو صارف کو بنیادی طور پر کسی بھی سام سنگ فون پر مکمل سسٹم تک رسائی فراہم کرتا ہے۔
وہ صارفین جو اپنے اسمارٹ فونز کو اپنی مرضی کے مطابق بنانا پسند کرتے ہیں وہ اس طرح کے کارناموں سے فائدہ اٹھا سکتے ہیں۔ سسٹم تک گہری رسائی انہیں، مثال کے طور پر، GSI (Generic System Image) کو بوٹ کرنے یا ڈیوائس کا علاقائی CSC کوڈ تبدیل کرنے کی اجازت دیتی ہے۔ چونکہ یہ صارف کے نظام کو مراعات دیتا ہے، اس لیے اسے خطرناک طریقے سے بھی استعمال کیا جا سکتا ہے۔ اس طرح کا استحصال تمام اجازت چیکوں کو نظرانداز کرتا ہے، تمام ایپلیکیشن اجزاء تک رسائی رکھتا ہے، محفوظ نشریات بھیجتا ہے، پس منظر کی سرگرمیاں چلاتا ہے، اور بہت کچھ۔
ٹی ٹی ایس ایپلی کیشن میں مسئلہ پیدا ہوا۔
2019 میں، یہ انکشاف کیا گیا کہ CVE-2019-16253 کا لیبل لگا ہوا کمزوری 3.0.02.7 سے پہلے کے ورژنز میں سام سنگ کے استعمال کردہ ٹیکسٹ ٹو اسپیچ (TTS) انجن کو متاثر کرتی ہے۔ اس کارنامے نے حملہ آوروں کو نظام کے مراعات میں مراعات دینے کی اجازت دی اور بعد میں ان پر پیچ کیا گیا۔
تصویر گیلری، نگارخانہ
ٹی ٹی ایس ایپلیکیشن نے بنیادی طور پر ٹی ٹی ایس انجن سے جو بھی ڈیٹا حاصل کیا اسے آنکھ بند کر کے قبول کر لیا۔ صارف لائبریری کو TTS انجن میں منتقل کر سکتا ہے، جسے پھر TTS ایپلیکیشن کو دیا گیا، جو لائبریری کو لوڈ کرے گا اور پھر اسے سسٹم کے مراعات کے ساتھ چلا سکے گا۔ اس بگ کو بعد میں ٹھیک کیا گیا تاکہ TTS ایپلیکیشن TTS انجن سے آنے والے ڈیٹا کی تصدیق کرے۔
تاہم، گوگل میں Androidu 10 نے ایپلی کیشنز کو ENABLE_ROLLBACK پیرامیٹر کے ساتھ انسٹال کر کے رول بیک کرنے کا آپشن متعارف کرایا ہے۔ یہ صارف کو ڈیوائس پر انسٹال کردہ ایپلیکیشن کے ورژن کو اس کے پچھلے ورژن میں واپس کرنے کی اجازت دیتا ہے۔ یہ صلاحیت کسی بھی ڈیوائس پر سام سنگ کی ٹیکسٹ ٹو اسپیچ ایپ تک بھی بڑھ گئی ہے۔ Galaxyجو کہ فی الحال دستیاب ہے کیونکہ لیگیسی ٹی ٹی ایس ایپ جسے صارفین نئے فونز پر واپس لے سکتے ہیں، ان پر پہلے کبھی انسٹال نہیں کیا گیا تھا۔
سام سنگ کو تین ماہ سے اس مسئلے کا علم ہے۔
دوسرے لفظوں میں، اگرچہ 2019 کا ذکر کیا گیا ایکسپلائٹ کیا گیا ہے اور TTS ایپ کا اپ ڈیٹ ورژن تقسیم کر دیا گیا ہے، صارفین کے لیے اسے کئی سال بعد ریلیز ہونے والی ڈیوائسز پر انسٹال کرنا اور استعمال کرنا آسان ہے۔ جیسا کہ وہ بیان کرتا ہے۔ ویب XDA ڈویلپرز، سام سنگ کو اس حقیقت کے بارے میں گزشتہ اکتوبر میں مطلع کیا گیا تھا اور جنوری میں K0mraid3 کے نام سے جانے والی اس کی ڈویلپر کمیونٹی کے ایک رکن نے یہ جاننے کے لیے کمپنی سے دوبارہ رابطہ کیا کہ کیا ہوا ہے۔ سام سنگ نے جواب دیا کہ یہ AOSP (Android اوپن سورس پروجیکٹ؛ ماحولیاتی نظام کا حصہ Androidu) اور گوگل سے رابطہ کریں۔ انہوں نے نوٹ کیا کہ پکسل فون پر اس مسئلے کی تصدیق ہو چکی ہے۔
لہذا K0mraid3 گوگل کو مسئلہ کی اطلاع دینے گیا، صرف یہ جاننے کے لیے کہ سام سنگ اور کسی اور نے پہلے ہی ایسا کیا تھا۔ فی الحال یہ واضح نہیں ہے کہ اگر واقعی AOSP ملوث ہے تو گوگل اس مسئلے کو کیسے حل کرے گا۔
آپ کو دلچسپی ہو سکتی ہے۔
K0mraid3 آن فورم XDA کا کہنا ہے کہ صارفین کے لیے اپنی حفاظت کا بہترین طریقہ یہ ہے کہ اس استحصال کو انسٹال کریں اور استعمال کریں۔ ایک بار ایسا کرنے کے بعد، کوئی بھی دوسری لائبریری کو TTS انجن میں لوڈ نہیں کر سکے گا۔ دوسرا آپشن سام سنگ ٹی ٹی ایس کو آف کرنا یا ہٹانا ہے۔
اس وقت یہ واضح نہیں ہے کہ آیا اس استحصال سے اس سال ریلیز ہونے والے آلات متاثر ہوتے ہیں۔ K0mraid3 نے مزید کہا کہ کچھ JDM (جوائنٹ ڈیولپمنٹ مینوفیکچرنگ) نے آؤٹ سورس آلات جیسے سیمسنگ Galaxy A03. ان آلات کو پرانے JDM ڈیوائس سے صرف صحیح طریقے سے دستخط شدہ TTS ایپلیکیشن کی ضرورت ہو سکتی ہے۔
