මර්ශන වාර්තාව: ලාභෙට ගන්න TV Stick එකෙන් ඔබේ අන්තර්ජාලය හොරකම් කරන "Factory-Baked" ඔත්තුකරුවා.
මම සාමාන්යයෙන් Library of Things (LOT) එකේ කරන්නේ අලුත් අලුත් ගැජට් හදන එක වුණත්, පසුගිය සතියේ මට සිදු වුණේ අමුතුම විමර්ශනයක් කරන්නයි. මේ හැමදේම පටන් ගත්තේ මගේ SLT Fiber line එකේ දත්ත (Data) පුදුම විදිහට පිටතට යනවා දැක්ක දවසෙයි. විශේෂයෙන්ම රෑ 12 ත් උදේ 8 ත් අතර, මම නිදාගෙන ඉන්න වෙලාවටත් මගේ කනෙක්ෂන් එකෙන් 134.83 GB ක දත්ත ප්රමාණයක් අසාමාන්ය ලෙස පිටතට (Upload) ගොස් තිබුණා!.
මම සැකපිට පරීක්ෂා කළේ රු. 5,000 කට වඩා වැඩි මුදලකට AliExpress හෝ Temu වැනි වෙබ් අඩවි වලින් ගෙන්වපු, G96 ලෙස ලේබල් කරපු unbranded Android TV Stick එකයි. මම මේ උපාංගය ගලවලා, එහි PCB එකට වයර් පෑස්සුම් කරලා (UART console), පරිගණකයට සම්බන්ධ කරලා පරීක්ෂා කළා. එතැනදී තමයි මම මීට කලින් කවදාවත් දැකපු නැති භයානක සත්යයක් හොයාගත්තේ.
මෘදුකාංගය ඇතුළේ හංගපු "අත්සන"
අපි හැමෝම හිතන්නේ වයිරසයක් එන්නේ පස්සේ කියලා වුණත්, මේ TV Stick එකේ වයිරසය තිබුණේ ඒක හදනකොටමයි (Supply-Chain Compromise).
මම මේකේ මෘදුකාංගය පරීක්ෂා කරද්දී ඒ ඇතුළේම "cmj" නමින් ඉංජිනේරුවෙකුගේ නමක් සටහන් වෙලා තිබුණා.
මෘදුකාංගය හදපු පරිගණකයේ නම ("wncc") පවා එහි සටහන් වෙලා තිබුණා.
ඇත්තම කතාව: මේ උපාංගය හදපු ඉංජිනේරුවාම තමයි ඔබේ දත්ත හොරකම් කරන මෘදුකාංගයත් ඒකටම ඇතුළු කරලා එවා තිබෙන්නේ.
ප්රසිද්ධ GitHub ලින්ක් එකක් හරහා ක්රියාත්මක වන ජාලයක්
මෙම උපකරණය හුදෙක් දත්ත සොරකම් කරනවා පමණක් නොව, එය තමන් කවුද යන්න සඟවනවා.
ඕනෑම ඇප් එකකට තමන් කවුදැයි පෙන්වීමේදී මෙය පෙන්වන්නේ තමන් Google Pixel 2 වර්ගයේ ෆෝන් එකක් කියලායි.
මම මේක පාලනය කරන තැන හොයාගෙන ගියාම මට හමු වුණේ ලෝකේ මිලියන 10 කට වඩා වැඩි පිරිසක් හසු කරගෙන ඉන්න ලොකු ජාලයක්.
අහුවෙන්නේ නැති වෙන්න මේ දත්ත යවන්නේ PUBG වගේ වීඩියෝ ගේම් වල දත්ත විදිහට වෙස්වලාගෙනයි.
හෙට දෙවන කොටසින්: ඔබේ රවුටරයෙන් මේක "Block" කළත් වැඩ කරන්නේ නැත්තේ ඇයි සහ මේ මෙහෙයුම පාලනය කරන්නේ කොහේ සිටද කියලා මම හෙළි කරන්නම්.
දෙවන කොටස — රවුටරයෙන් "Block" කළත් අහුවෙන්නේ නැති "හොල්මන්" TV Stick එක!
රවුටරයේ සෙටින්ග්ස්වලට පවා හසු නොවන G96 හි රහස් මෙහෙයුම.
පළමු කොටසින් මම කිව්වේ මේ උපාංගය ඇතුළේ තිබුණු "cmj" නමැති ඉංජිනේරුවාගේ අත්සන ගැනයි. අද මම පෙන්වන්නේ සාමාන්ය පරිශීලකයෙකුට මේ උපාංගය පාලනය කිරීම කොතරම් අපහසුද කියන එකයි.
මම මේ TV Stick එකේ දත්ත සොරකම නතර කරන්න මගේ රවුටරයෙන් එහි MAC Address එක අවහිර (Block) කළා. නමුත් එතැනදී තමයි මම පුදුම වුණේ:
මම Block කළ සැනින්, තත්පර 30ක් ඇතුළත මේ උපාංගය තමන්ගේ අනන්යතාවය (MAC Address) ස්වයංක්රීයව වෙනස් කරගෙන නැවත අන්තර්ජාලයට සම්බන්ධ වුණා!.
මෙයට හේතුව වන්නේ මෙහි ඇති AIC8800D40 නමැති විශේෂිත Wi-Fi මොඩියුලයයි. මෙහි ඇති මෘදුකාංගයට (Driver) පුළුවන් ඕනෑම වෙලාවක අලුත් MAC Address එකක් ජනනය (Generate) කරන්න.
මේ හේතුව නිසාම අපිට මේ උපාංගයට සම්පූර්ණයෙන්ම අලුත් මෘදුකාංගයක් (Clean Firmware) ඇතුළත් කරන්න (Flash කරන්න) බැහැ. මොකද මේ විශේෂිත Wi-Fi ඩ්රයිවර් එක අප සතුව නැති නිසා, Flash කිරීමෙන් පසු Wi-Fi ක්රියා විරහිත වීමේ ලොකු අවදානමක් තිබෙනවා.
ඔබටත් මෙහෙම වෙලා තියෙනවද?
ඔබේ TV Stick එකේ YouTube ඇප් එක ඕපන් කරනකොට "YouTube not allowed for this device" වැනි පණිවිඩයක් එනවා නම්, ඒ කියන්නේ Google ආයතනය මේ උපාංගයේ ඇති හොර "Pixel 2" අනන්යතාවය හඳුනාගෙන ඇති බවයි. මම මීට විසඳුමක් ලෙස SmartTube ඇප් එක ඉන්ස්ටෝල් කළත්, දින කිහිපයකින් එය හොර රහසේම අස්ථාපනය (Uninstall) වී තිබුණා!.
කවුද මේක කළේ?
මම මෘදුකාංගය පරීක්ෂා කිරීමේදී සොයාගත්තා "appstore.coob.top" නමැති හැකර්ගේ සර්වර් එකට පුළුවන් බව අපේ අවසරයකින් තොරව දුරස්ථව (Remotely) ඇප්ස් ඉවත් කරන්න. ඔවුන්ට අවශ්ය වෙන්නේ ඔවුන්ගේ දත්ත සොරකමට බාධා කරන ඕනෑම ඇප් එකක් ඉවත් කරන්නයි.
හෙට අවසාන කොටසින්: අපි මේ උපාංගය "නිරෝධායනය" කරලා, සුපිරි ගේම් කොන්සෝල් එකක් බවට පත් කළේ කොහොමද කියලා මම පෙන්වන්නම්.
copied credit goes to original author
මම සාමාන්යයෙන් Library of Things (LOT) එකේ කරන්නේ අලුත් අලුත් ගැජට් හදන එක වුණත්, පසුගිය සතියේ මට සිදු වුණේ අමුතුම විමර්ශනයක් කරන්නයි. මේ හැමදේම පටන් ගත්තේ මගේ SLT Fiber line එකේ දත්ත (Data) පුදුම විදිහට පිටතට යනවා දැක්ක දවසෙයි. විශේෂයෙන්ම රෑ 12 ත් උදේ 8 ත් අතර, මම නිදාගෙන ඉන්න වෙලාවටත් මගේ කනෙක්ෂන් එකෙන් 134.83 GB ක දත්ත ප්රමාණයක් අසාමාන්ය ලෙස පිටතට (Upload) ගොස් තිබුණා!.
මම සැකපිට පරීක්ෂා කළේ රු. 5,000 කට වඩා වැඩි මුදලකට AliExpress හෝ Temu වැනි වෙබ් අඩවි වලින් ගෙන්වපු, G96 ලෙස ලේබල් කරපු unbranded Android TV Stick එකයි. මම මේ උපාංගය ගලවලා, එහි PCB එකට වයර් පෑස්සුම් කරලා (UART console), පරිගණකයට සම්බන්ධ කරලා පරීක්ෂා කළා. එතැනදී තමයි මම මීට කලින් කවදාවත් දැකපු නැති භයානක සත්යයක් හොයාගත්තේ.
මෘදුකාංගය ඇතුළේ හංගපු "අත්සන"
අපි හැමෝම හිතන්නේ වයිරසයක් එන්නේ පස්සේ කියලා වුණත්, මේ TV Stick එකේ වයිරසය තිබුණේ ඒක හදනකොටමයි (Supply-Chain Compromise).
මම මේකේ මෘදුකාංගය පරීක්ෂා කරද්දී ඒ ඇතුළේම "cmj" නමින් ඉංජිනේරුවෙකුගේ නමක් සටහන් වෙලා තිබුණා.
මෘදුකාංගය හදපු පරිගණකයේ නම ("wncc") පවා එහි සටහන් වෙලා තිබුණා.
ඇත්තම කතාව: මේ උපාංගය හදපු ඉංජිනේරුවාම තමයි ඔබේ දත්ත හොරකම් කරන මෘදුකාංගයත් ඒකටම ඇතුළු කරලා එවා තිබෙන්නේ.
ප්රසිද්ධ GitHub ලින්ක් එකක් හරහා ක්රියාත්මක වන ජාලයක්
මෙම උපකරණය හුදෙක් දත්ත සොරකම් කරනවා පමණක් නොව, එය තමන් කවුද යන්න සඟවනවා.
ඕනෑම ඇප් එකකට තමන් කවුදැයි පෙන්වීමේදී මෙය පෙන්වන්නේ තමන් Google Pixel 2 වර්ගයේ ෆෝන් එකක් කියලායි.
මම මේක පාලනය කරන තැන හොයාගෙන ගියාම මට හමු වුණේ ලෝකේ මිලියන 10 කට වඩා වැඩි පිරිසක් හසු කරගෙන ඉන්න ලොකු ජාලයක්.
අහුවෙන්නේ නැති වෙන්න මේ දත්ත යවන්නේ PUBG වගේ වීඩියෝ ගේම් වල දත්ත විදිහට වෙස්වලාගෙනයි.
හෙට දෙවන කොටසින්: ඔබේ රවුටරයෙන් මේක "Block" කළත් වැඩ කරන්නේ නැත්තේ ඇයි සහ මේ මෙහෙයුම පාලනය කරන්නේ කොහේ සිටද කියලා මම හෙළි කරන්නම්.
දෙවන කොටස — රවුටරයෙන් "Block" කළත් අහුවෙන්නේ නැති "හොල්මන්" TV Stick එක!
පළමු කොටසින් මම කිව්වේ මේ උපාංගය ඇතුළේ තිබුණු "cmj" නමැති ඉංජිනේරුවාගේ අත්සන ගැනයි. අද මම පෙන්වන්නේ සාමාන්ය පරිශීලකයෙකුට මේ උපාංගය පාලනය කිරීම කොතරම් අපහසුද කියන එකයි.
මම මේ TV Stick එකේ දත්ත සොරකම නතර කරන්න මගේ රවුටරයෙන් එහි MAC Address එක අවහිර (Block) කළා. නමුත් එතැනදී තමයි මම පුදුම වුණේ:
මම Block කළ සැනින්, තත්පර 30ක් ඇතුළත මේ උපාංගය තමන්ගේ අනන්යතාවය (MAC Address) ස්වයංක්රීයව වෙනස් කරගෙන නැවත අන්තර්ජාලයට සම්බන්ධ වුණා!.
මෙයට හේතුව වන්නේ මෙහි ඇති AIC8800D40 නමැති විශේෂිත Wi-Fi මොඩියුලයයි. මෙහි ඇති මෘදුකාංගයට (Driver) පුළුවන් ඕනෑම වෙලාවක අලුත් MAC Address එකක් ජනනය (Generate) කරන්න.
මේ හේතුව නිසාම අපිට මේ උපාංගයට සම්පූර්ණයෙන්ම අලුත් මෘදුකාංගයක් (Clean Firmware) ඇතුළත් කරන්න (Flash කරන්න) බැහැ. මොකද මේ විශේෂිත Wi-Fi ඩ්රයිවර් එක අප සතුව නැති නිසා, Flash කිරීමෙන් පසු Wi-Fi ක්රියා විරහිත වීමේ ලොකු අවදානමක් තිබෙනවා.
ඔබටත් මෙහෙම වෙලා තියෙනවද?
ඔබේ TV Stick එකේ YouTube ඇප් එක ඕපන් කරනකොට "YouTube not allowed for this device" වැනි පණිවිඩයක් එනවා නම්, ඒ කියන්නේ Google ආයතනය මේ උපාංගයේ ඇති හොර "Pixel 2" අනන්යතාවය හඳුනාගෙන ඇති බවයි. මම මීට විසඳුමක් ලෙස SmartTube ඇප් එක ඉන්ස්ටෝල් කළත්, දින කිහිපයකින් එය හොර රහසේම අස්ථාපනය (Uninstall) වී තිබුණා!.
කවුද මේක කළේ?
මම මෘදුකාංගය පරීක්ෂා කිරීමේදී සොයාගත්තා "appstore.coob.top" නමැති හැකර්ගේ සර්වර් එකට පුළුවන් බව අපේ අවසරයකින් තොරව දුරස්ථව (Remotely) ඇප්ස් ඉවත් කරන්න. ඔවුන්ට අවශ්ය වෙන්නේ ඔවුන්ගේ දත්ත සොරකමට බාධා කරන ඕනෑම ඇප් එකක් ඉවත් කරන්නයි.
හෙට අවසාන කොටසින්: අපි මේ උපාංගය "නිරෝධායනය" කරලා, සුපිරි ගේම් කොන්සෝල් එකක් බවට පත් කළේ කොහොමද කියලා මම පෙන්වන්නම්.
copied credit goes to original author
