Emolevy puhui Israelin tietoturvatutkijan Amihai Neidermanin kanssa Equus Softwareista, että tällä hetkellä on 40 ilmoittamatta jätettyä tietoturvahaavoitetta, jotka sallivat kaikkien Samsung-televisioiden, kellojen tai puhelimien etäsuorittamisen ja hakkeroinnin, jotka käyttävät Tizeniä käyttöjärjestelmänä. Vakavampia ovat jotkut väitteet siitä, kuinka ja miksi monet näistä hyväksikäytöistä ovat takana.
Se voi olla pahin koodi mitä olen koskaan nähnyt.
Vaikka Samsung ei ehkä ajattele Androidin korvaamista Tizenillä puhelimissaan ja tablet-laitteissaan, nykyistä ekosysteemiä on tarkoitus laajentaa suurella tavalla: Samsung on sitoutunut käyttämään Tizeniä useimmissa myymissään älylaitteissa. Älykkäät jääkaapit kuulostavat loistavalta idealta, kunnes joku hakkeroi sähköpostisi yhden kautta.
Se voi olla huonoin koodi mitä olen koskaan nähnyt, Neiderman kertoo emolevylle. Kaikki mitä voit tehdä väärin siellä, he tekevät sen. Voit nähdä, että kukaan, jolla ei ole ymmärrystä turvallisuudesta, ei katsonut tätä koodia tai kirjoittanut sitä. Se on kuin ottaa opiskelija ja antaa hänen ohjelmoida ohjelmistosi.
Kaikilla isoilla ohjelmistoprojekteilla on kohtuullinen osuus virheistä ja hyödyntämisistä. Vaikka jotkut ovat vakavampia kuin toiset, useimmat tutkijat eivät katso Tizeniä samalla tavalla kuin he keskittyvät Androidiin, iOS: iin ja Windowsiin. Se johtuu suurelta osin siitä, että Samsung myy enemmän Galaxy S8 -puhelimia viikossa, kuin se todennäköisesti koskaan myy Tizen-puhelimia käyttäviä puhelimia. Mutta siinä ei oteta huomioon useita Samsungin menestyviä tuotelinjoja, mukaan lukien Gear S3 -älykello, joka monilla meistä on nyt ranteessa. Neiderman jatkaa vakavalla varjolla kohti Samsungin Tizen-tuotekehitysryhmää.
sanoo, että suuri osa Tizen-koodikannasta on vanha ja lainaa aikaisemmilta Samsungin koodausprojekteilta, mukaan lukien Bada, aikaisempi matkapuhelimen käyttöjärjestelmä, jonka Samsung lopetti.
Mutta suurin osa hänen havaitsemistaan haavoittuvuuksista oli tosiasiallisesti uudessa koodissa, joka on kirjoitettu nimenomaan Tizenille viimeisen kahden vuoden aikana. Monet heistä ovat sellaisia virheitä, joita ohjelmoijat ovat tehneet kaksikymmentä vuotta sitten, mikä osoittaa, että Samsungista puuttuu peruskoodien kehittämis- ja tarkistuskäytännöt tällaisten virheiden estämiseksi ja korjaamiseksi.
Tämä on erityisen huolestuttavaa useista syistä. Ensinnäkin Samsungin Androidiin lisäämässä koodissa ei ole vertaisarviointiprosessia, koska se ei ole avoimen lähdekoodin sovellus. Jos Samsungista, kuten väitetään, puuttuu koodaus- ja tarkistustekniikoista, samoja virheitä voi olla runsaasti myös Android-portfoliossa. Vaikka näin ei ole, Samsung Gear -kelloperhe on kytketty harvoihin Android-laitteisiin ja jakaa paljon tietoa, joka voi olla avoin jollekin oikeilla työkaluilla ja vähän tietotaidolla.
Hyökkääjä voi asentaa minkä tahansa haluamansa ohjelmistot TizenStore-sovelluksen kautta.
Jopa Samsung Pay -palvelun kautta toimitettujen rahallisten taloudellisten tietojen on oltava elossa kelloasi jollakin tasolla, vaikka vain riittävän kauan siirtääksesi maksupäätteelle tai takaisin pankkiisi. Onneksi se on tallennettu tavalla, joka tekee suurimmaksi osaksi arvottoman ilman avaimia salauksen purkamiseen ja viittausta mihin merkki on.
Kaiken tämän lisäksi suurin ongelma on Tizen-sovelluskaupan ja asentajan ongelma.
Yksi Neidermanin paljastama turvaaukko oli erityisen kriittinen. Siihen sisältyy Samsungin TizenStore-sovellus - Samsungin versio Google Play Kaupasta -, joka toimittaa sovelluksia ja ohjelmistopäivityksiä Tizen-laitteille. Neidermanin mukaan suunnitteluvirhe antoi hänelle kaapata ohjelmiston toimittaakseen haitallisen koodin Samsung-televisioonsa.
Tämä on show stop. TizenStore-sovellus toimii ehdottomilla järjestelmän käyttöoikeuksilla ja voi asentaa ja suorittaa mitä tahansa ilman käyttäjän toissijaista tuloa. Tämän prosessin kaappaus ja sen käyttäminen etäkäyttöön tarkoitettujen työkalujen asentamiseen ja järjestelmän käyttöoikeuksien myöntämiseen tarkoittaa, että hyökkääjä voi tehdä melkein mitä tahansa. Jokainen laite, jolla on pääsy TizenStore-palveluun tai jokin muu tapa asentaa Tizen-sovelluksia, on mahdollisesti haavoittuvainen, mukaan lukien Samsung Gear -tuoteperhe.
Emme suosittele ketään heittämään kelloa tai televisiota ulos. Olemme tavoittaneet Samsungin, joka kertoo emolevylle, että se työskentelee Neidermanin kanssa saadakseen kaiken kunnossa, ja päivitämme sen, kun kuulemme jotain.
Toistaiseksi noudata samaa varovaisuutta kuin Windows-tietokoneessa tai ladatessasi Android-sovelluksia sivutietoihin, kun käytät Tizen-pohjaisia laitteita.
