قيل إن هاتف Tizen من سامسونج مليء بنقاط الضعف. هل ساعتك الذكية آمنة؟

التحدث مع باحث أمني إسرائيلي أميهاي نيدرمان من برنامج Equus, اللوحة الأم يخبرنا أن هناك حاليًا 40 ثغرة أمنية لم يتم الإبلاغ عنها والتي من شأنها أن تسمح بالتنفيذ عن بُعد والقرصنة لكل تلفزيون أو ساعة أو هاتف Samsung يستخدمه تايزن كنظام تشغيل. الأكثر خطورة هي بعض المزاعم حول كيف ولماذا وراء العديد من هذه المآثر.

قد يكون أسوأ رمز رأيته في حياتي.

بينما قد لا تفكر Samsung في استبدال Android بـ Tizen على هواتفها وأجهزتها اللوحية ، فإن النظام البيئي الحالي هو كذلك على وشك التوسع بشكل كبير: تلتزم Samsung باستخدام Tizen في معظم الأجهزة الذكية التي تبيعها إلى الأمام. تبدو الثلاجات الذكية فكرة رائعة حتى يخترق شخص ما بريدك الإلكتروني من خلال واحدة.

قد يكون هذا هو أسوأ رمز رأيته في حياتي ، كما أخبر نيدرمان Motherboard. كل ما يمكنك القيام به خطأ هناك ، يفعلونه. يمكنك أن ترى أنه لم ينظر أي شخص لديه أي فهم للأمان إلى هذا الرمز أو كتبه. إنه مثل أخذ طالب جامعي والسماح له ببرمجة برنامجك.

أي مشروع برمجيات كبير سيكون له نصيبه العادل من الأخطاء والمآثر. في حين أن البعض أكثر جدية من البعض الآخر ، فإن معظم الباحثين لا ينظرون إلى Tizen بنفس الطريقة التي يركزون بها على Android و iOS و Windows. هذا إلى حد كبير لأن Samsung ستبيع المزيد

جالكسي S8 الهواتف في غضون أسبوع من المرجح أن تبيع فيه الهواتف التي تعمل بنظام Tizen. لكن هذا يتجاهل العديد من خطوط إنتاج Samsung الناجحة بما في ذلك ساعة Gear S3 الذكية التي لدى الكثير منا على معصمنا الآن. يواصل Neiderman بعض الظل الجاد تجاه فريق تطوير Samsung لشركة Tizen.

يقول [Neiderman] إن الكثير من قاعدة رموز Tizen قديمة وتستعير من مشاريع الترميز السابقة لشركة Samsung ، بما في ذلك Bada ، وهو نظام تشغيل سابق للهاتف المحمول أوقفته Samsung.

لكن معظم نقاط الضعف التي وجدها كانت في الواقع في كود جديد تمت كتابته خصيصًا لـ Tizen خلال العامين الماضيين. العديد منها من نوع الأخطاء التي ارتكبها المبرمجون منذ عشرين عامًا ، مما يشير إلى أن Samsung تفتقر إلى تطوير التعليمات البرمجية الأساسية وممارسات المراجعة لمنع هذه العيوب والتقاطها.

هذا مثير للقلق بشكل خاص لعدة أسباب. أولاً ، لا يحتوي الكود الذي تضيفه Samsung إلى Android على عملية مراجعة النظراء لأنها ليست كذلك المصدر المفتوح. إذا كانت Samsung ، كما يُزعم ، تفتقر إلى تقنيات الترميز والمراجعة ، فقد تكون نفس أنواع الأخطاء وفيرة في محفظة Android الخاصة بها أيضًا. حتى لو لم يكن الأمر كذلك ، فإن عائلة ساعات Samsung Gear متصلة بعدد غير قليل من أجهزة Android ويشارك الكثير من المعلومات التي يمكن أن تكون مفتوحة لشخص لديه الأدوات المناسبة والقليل من المعلومات اعلم كيف.

يمكن للمهاجم تثبيت أي برنامج يحبه من خلال تطبيق TizenStore.

حتى البيانات المالية الرمزية من خلال Samsung Pay يجب أن تعيش على ساعتك عند مستوى معين ، حتى لو كانت طويلة بما يكفي للإرسال إلى محطة الدفع أو العودة إلى البنك الذي تتعامل معه. لحسن الحظ ، يتم تخزينه بطريقة تجعله بلا قيمة في الغالب بدون مفاتيح فك تشفيره وإشارة إلى الغرض من الرمز المميز.

بغض النظر عن كل هذا ، فإن المشكلة الأكبر هي مشكلة في متجر تطبيقات Tizen ومثبتها.

كانت إحدى الثغرات الأمنية التي اكتشفها نيدرمان حرجة بشكل خاص. يتضمن تطبيق TizenStore من Samsung - إصدار Samsung من متجر Google Play - والذي يوفر التطبيقات وتحديثات البرامج لأجهزة Tizen. يقول Neiderman إن عيبًا في تصميمه سمح له باختطاف البرنامج لتقديم تعليمات برمجية ضارة إلى تلفزيون Samsung الخاص به.

هذا هو سدادة العرض. يعمل تطبيق TizenStore بامتيازات نظام مطلقة ويمكنه تثبيت أي شيء وتشغيله بدون إدخال ثانوي من المستخدم. يعني اختطاف هذه العملية واستخدامها لتثبيت أدوات للوصول عن بُعد ومنحهم امتيازات النظام أن المهاجم يمكنه فعل أي شيء يحلو له. من المحتمل أن يكون كل جهاز يمكنه الوصول إلى TizenStore أو طريقة أخرى لتثبيت تطبيقات Tizen عرضة للخطر ، بما في ذلك عائلة Samsung Gear.

نحن لا ننصح أي شخص برمي ساعته أو تلفازه. لقد تواصلنا مع Samsung ، التي أخبرت Motherboard أنها تعمل مع Neiderman للحصول على كل شيء في شكل جيد ، وسنقوم بالتحديث عندما نسمع شيئًا ما.

في الوقت الحالي ، توخ الحذر نفسه الذي تتخذه مع جهاز كمبيوتر يعمل بنظام Windows أو عند تحميل تطبيقات Android بشكل جانبي أثناء استخدام أدواتك التي تعمل بنظام Tizen.