Tech новости

Говорят, что Tizen от Samsung изобилует уязвимостями. Ваши умные часы безопасны?

В беседе с израильским исследователем безопасности Amihai Neiderman из Equus Software , материнская плата сообщает нам, что в настоящее время существует 40 незарегистрированных уязвимостей, которые делают возможным удаленное выполнение и взлом любого телевизора Samsung, часов или телефона, использующего Tizen в качестве операционной системы. Более серьезными являются некоторые утверждения о том, как и почему за многие из этих подвигов.

Это может быть худший код, который я когда-либо видел.

Хотя Samsung может и не подумать о замене Android на Tizen на своих телефонах и планшетах, нынешняя экосистема собирается значительно расшириться: Samsung стремится использовать Tizen на большинстве всех интеллектуальных устройств, которые продает в будущем. Умные холодильники звучат как отличная идея, пока кто-нибудь не взломает вашу электронную почту.

Это может быть худший код, который я когда-либо видел, говорит Нейдерман Материнской плате. Все, что вы можете сделать неправильно, они делают это. Вы можете видеть, что никто с каким-либо пониманием безопасности не смотрел и не писал этот код. Это все равно, что взять студента и позволить ему программировать ваше программное обеспечение.

Любой крупный программный проект будет иметь свою долю ошибок и эксплойтов. В то время как некоторые более серьезны, чем другие, большинство исследователей смотрят на Tizen не так, как на Android, iOS и Windows. Во многом это связано с тем, что Samsung будет продавать больше телефонов Galaxy S8 за неделю, что, скорее всего, будет продавать телефоны с Tizen. Но это упускает из виду некоторые успешные линейки продуктов Samsung, включая умные часы Gear S3, которые многие из нас уже сейчас носят на своем запястье. Neiderman идет с серьезным оттенком по отношению к команде разработчиков Samsung для Tizen.

[Neiderman] говорит, что большая часть кодовой базы Tizen устарела и заимствована из предыдущих проектов Samsung по кодированию, включая Bada, предыдущую операционную систему для мобильных телефонов, которую Samsung прекратил.

Но большинство обнаруженных им уязвимостей на самом деле были в новом коде, написанном специально для Tizen за последние два года. Многие из них являются ошибками, которые программисты допустили двадцать лет назад, что указывает на то, что Samsung не хватает базовых методов разработки и анализа кода для предотвращения и выявления таких недостатков.

Это особенно беспокоит по нескольким причинам. Во-первых, код, который Samsung добавляет в Android, не имеет процесса рецензирования, поскольку не имеет открытого исходного кода . Если Samsung, как утверждается, не хватает, когда речь заходит о технологиях кодирования и анализа, таких же ошибок может быть и в ее портфолио Android. Даже если это не так, часы семейства Samsung Gear подключены к нескольким устройствам Android и обмениваются большой информацией, которая может быть открыта кому-то с помощью правильных инструментов и небольшого количества ноу-хау.

Злоумышленник может установить любое понравившееся программное обеспечение через приложение TizenStore.

Даже маркерные финансовые данные через Samsung Pay должны в какой-то степени храниться в ваших часах, даже если они достаточно длинные, чтобы передавать их на платежный терминал или обратно в ваш банк. К счастью, его хранение — это способ сделать его бесполезным без ключей для его расшифровки и ссылки на то, для чего предназначен токен.

Помимо всего этого, самой большой проблемой является проблема с магазином приложений Tizen и установщиком.

Одна дыра в безопасности, обнаруженная Нейдерманом, была особенно критичной. Он включает в себя приложение Samsung TizenStore — версию Google Play Store от Samsung, которое предоставляет приложения и обновления программного обеспечения для устройств Tizen. Неидерман говорит, что недостаток его конструкции позволил ему захватить программное обеспечение для доставки вредоносного кода на его телевизор Samsung.

Это шоу-стоппер. Приложение TizenStore работает с абсолютными системными привилегиями и может устанавливать и запускать все что угодно без дополнительных действий пользователя. Перехват этого процесса и использование его для установки инструментов для удаленного доступа и предоставления им системных привилегий означает, что злоумышленник может делать практически все, что ему нравится. Любое устройство с доступом к TizenStore или другим способом установки приложений Tizen потенциально уязвимо, включая семейство Samsung Gear .

Мы не советуем никому выбрасывать свои часы или телевизор. Мы обратились к Samsung, которая сообщает Материнской плате, что она работает с Neiderman, чтобы привести все в форму, и мы обновим, когда услышим что-нибудь.

Пока что будьте осторожны с компьютером под управлением Windows или при загрузке приложений Android, когда вы используете гаджеты на Tizen.

Мы можем заработать комиссию за покупки, используя наши ссылки. Узнайте больше

Похожие посты
Tech новости

Про совет: Протрите порно с вашего телефона перед заменой его

Tech новости

Охранная фирма детализирует проблемы конфиденциальности; разработчик рассказывает нам свою сторону истории

Tech новости

Проект Android UI Utilities приносит унифицированные инструменты дизайна для разработчиков

Tech новости

Google утверждает, что популярные обои-приложения считаются безопасными