Vorbind cu cercetătorul israelian de securitate Amihai Neiderman de la Equus Software, placa de bază ne spune că în prezent există 40 de vulnerabilități de securitate nereportate care ar permite executarea și hacking-ul de la distanță a fiecărui televizor, ceas sau telefon Samsung care folosește Tizen ca sistem de operare. Mai grave sunt unele afirmații despre cum și de ce în spatele multor aceste exploatări.
Poate fi cel mai rău cod pe care l-am văzut vreodată.
Deși este posibil ca Samsung să nu se gândească să înlocuiască Android cu Tizen pe telefoanele și tabletele sale, ecosistemul actual este pe cale să fie extins într-un mod mare: Samsung se angajează să folosească Tizen pe majoritatea tuturor dispozitivelor inteligente pe care le vinde înainte. Frigiderele inteligente sună ca o idee grozavă până când cineva îți afectează e-mailul prin intermediul unuia.
Poate fi cel mai rău cod pe care l-am văzut vreodată, îi spune Neiderman pentru placa de bază. Tot ceea ce poți face greșit acolo, o fac. Puteți vedea că nimeni cu vreo înțelegere a securității nu s-a uitat la acest cod sau l-a scris. Este ca și cum ai lua un curs de licență și l-ai lăsa să-ți programeze software-ul.
Orice proiect de software mare va avea partea sa corectă de bug-uri și exploatări. Deși unii sunt mai serioși decât alții, majoritatea cercetătorilor nu se uită la Tizen în același mod în care sunt concentrați pe Android, iOS și Windows. Acest lucru se datorează în mare măsură faptului că Samsung va vinde mai multe telefoane Galaxy S8 într-o săptămână în care probabil va vinde vreodată telefoane care rulează Tizen. Dar aceasta trece cu vederea câteva dintre liniile de produse de succes ale Samsung, inclusiv smartwatch-ul Gear S3 pe care mulți dintre noi îl avem pe încheietura mâinii. Neiderman continuă cu o nuanță serioasă față de echipa de dezvoltare a Samsung pentru Tizen.
spune că o mare parte din baza de cod Tizen este veche și se împrumută din proiectele anterioare de codare Samsung, inclusiv Bada, un sistem de operare anterior de telefon mobil pe care Samsung a întrerupt-o.
Însă majoritatea vulnerabilităților pe care le-a găsit au fost de fapt într-un cod nou scris special pentru Tizen în ultimii doi ani. Multe dintre ele sunt genul de greșeli pe care programatorii le făceau în urmă cu douăzeci de ani, ceea ce indică faptul că Samsung nu are practici de bază de dezvoltare și revizuire a codurilor pentru a preveni și a înlătura astfel de defecte.
Acest lucru este deosebit de îngrijorător din mai multe motive. În primul rând, codul pe care Samsung îl adaugă Android nu are proces de revizuire de la egal la egal, deoarece nu este open source. Dacă Samsung, după cum se afirmă, lipsește în ceea ce privește tehnicile de codare și revizuire, aceleași fel de greșeli ar putea fi abundente și în portofoliul său de Android. Chiar dacă nu este cazul, familia de ceasuri Samsung Gear este conectată la câteva dispozitive Android și împărtășește o mulțime de informații care ar putea fi deschise pentru cineva cu instrumentele potrivite și un pic de cunoștințe.
Un atacator poate instala orice software le place prin aplicația TizenStore.
Chiar și datele financiare tokenizate prin intermediul Samsung Pay trebuie să trăiască la ceas la un anumit nivel, chiar dacă este suficient de lung pentru a transmite către un terminal de plată sau înapoi la bancă. Din fericire, este păstrat este un mod care îl face în mare parte fără valoare, fără tastele de a-l decripta și o trimitere la ceea ce este simbolul.
Cu toate acestea, cea mai mare problemă este o problemă cu magazinul și instalatorul de aplicații Tizen.
O gaură de securitate descoperită de Neiderman a fost deosebit de critică. Aceasta implică aplicația TizenStore de la Samsung - versiunea Samsung a Google Play Store - care oferă aplicații și actualizări software pentru dispozitivele Tizen. Neiderman spune că un defect în designul său i-a permis să deturneze software-ul pentru a livra cod rău intenționat televizorului său Samsung.
Acesta este un dop de spectacol. Aplicația TizenStore rulează cu privilegii absolute ale sistemului și poate instala și rula orice fără o intrare secundară din partea utilizatorului. Deturnarea acestui proces și utilizarea lui pentru a instala instrumente pentru acces la distanță și acordarea de privilegii ale sistemului înseamnă că un atacator poate face aproape orice le place. Fiecare dispozitiv cu acces la TizenStore sau un alt mod de instalare a aplicațiilor Tizen este potențial vulnerabil, inclusiv familia Samsung Gear.
Nu sfătuim pe nimeni să-și arunce ceasul sau televiziunea. Am contactat Samsung, care îi spune plăcii de bază că lucrează cu Neiderman pentru a obține totul în formă și vom actualiza când vom auzi ceva.
Deocamdată, aveți aceeași precauție pe care o puteți face cu un computer Windows sau când încărcați aplicațiile Android în timp ce folosiți gadgeturile Tizen.
