I samtaler med den israelske sikkerhedsforsker Amihai Neiderman fra Equus Software fortæller Motherboard, at der i øjeblikket er 40 ikke-rapporterede sikkerhedssårbarheder, der tillader fjernudførelse og hacking af alle Samsung-tv, -ur eller -telefoner, der bruger Tizen som operativsystem. Flere alvorlige er nogle beskyldninger om, hvordan og hvorfor bag mange af disse udnyttelser.
Det er muligvis den værste kode, jeg nogensinde har set.
Selvom Samsung måske ikke overvejer at erstatte Android med Tizen på sine telefoner og tablets, er det nuværende økosystem ved at blive udvidet på en stor måde: Samsung er forpligtet til at bruge Tizen på de fleste ethvert smart apparat, det sælger fremover. Smart køleskabe lyder som en god idé, indtil nogen hacker din e-mail via en.
Det er muligvis den værste kode, jeg nogensinde har set, fortæller Neiderman til Motherboard. Alt hvad du kan gøre forkert der, de gør det. Du kan se, at ingen med nogen forståelse af sikkerhed kiggede på denne kode eller skrev den. Det er som at tage en bachelor og lade ham programmere din software.
Ethvert stort softwareprojekt har en rimelig andel af bugs og exploits. Mens nogle er mere seriøse end andre, ser de fleste forskere ikke på Tizen på samme måde som de er fokuseret på Android, iOS og Windows. Det skyldes stort set, at Samsung vil sælge flere Galaxy S8-telefoner inden for en uge, som det sandsynligvis nogensinde vil sælge af telefoner, der kører Tizen. Men det overser flere af Samsungs succesrige produktlinjer inklusive Gear S3 smartwatch, som mange af os har på vores håndled lige nu. Neiderman fortsætter med en vis skygge mod Samsungs udviklingshold for Tizen.
siger, at meget af Tizen-kodebasen er gammel og låner fra tidligere Samsung-kodningsprojekter, inklusive Bada, et tidligere mobiltelefonoperativsystem, som Samsung afbrød.
Men de fleste af de sårbarheder, han fandt, var faktisk i en ny kode skrevet specifikt til Tizen inden for de sidste to år. Mange af dem er den slags fejl, som programmører begik for tyve år siden, hvilket indikerer, at Samsung mangler grundlæggende kodeudvikling og revisionspraksis for at forhindre og fange sådanne fejl.
Dette er især foruroligende af flere grunde. For det første har koden Samsung tilføjer til Android ingen peer review-proces, da den ikke er open source. Hvis Samsung, som hævdet, mangler når det kommer til kodning og gennemgangsteknikker, kan de samme slags fejl også være rigelige i sin Android-portefølje. Selvom dette ikke er tilfældet, er Samsung Gear-familien af ure forbundet til en hel del Android-enheder og deler en masse information, der kunne være åben for nogen med de rigtige værktøjer og en smule know-how.
En angriber kan installere al software, de kan lide gennem TizenStore-applikationen.
Selv tokeniserede økonomiske data via Samsung Pay skal leve på dit ur på et eller andet niveau, selvom det kun er længe nok til at overføre til en betalingsterminal eller tilbage til din bank. Heldigvis er det gemt er en måde, der gør det for det meste værdiløst uden nøglerne til at dekryptere det og en henvisning til hvad tokenet er til.
Alt dette til side er det største problem et problem med Tizen-applikationsbutikken og -installationsprogrammet.
Et sikkerhedshul, som Neiderman afsløret var særlig kritisk. Det involverer Samsungs TizenStore-app - Samsungs version af Google Play Store - der leverer apps og softwareopdateringer til Tizen-enheder. Neiderman siger, at en fejl i dens design gjorde det muligt for ham at kapre softwaren til at levere ondsindet kode til hans Samsung TV.
Dette er et showstop. TizenStore-appen kører med absolutte systemrettigheder og kan installere og køre alt uden sekundær input fra brugeren. At kapre denne proces og bruge den til at installere værktøjer til fjernadgang og give dem systemrettigheder betyder, at en hacker kan gøre næsten alt, hvad de kan lide. Enhver enhed med adgang til TizenStore eller en anden måde at installere Tizen-applikationer er potentielt sårbar, inklusive Samsung Gear-familien.
Vi anbefaler ikke, at nogen kaster deres ur eller tv ud. Vi har kontaktet Samsung, der fortæller Motherboard, at det arbejder med Neiderman for at få alt i form, og vi vil opdatere, når vi hører noget.
For nu skal du udvise den samme forsigtighed, som du ville med en Windows-computer, eller når du sideloader Android-applikationer, mens du bruger dine Tizen-drevne gadgets.
