Говорейки с израелски изследовател по сигурността Амихай Нейдерман на Софтуер на Equus, Дънна платка ни казва, че в момента има 40 неотчетени уязвимости в сигурността, които биха позволили дистанционно изпълнение и хакване на всеки Samsung телевизор, часовник или телефон, който използва Тизен като операционната система. По-сериозни са някои твърдения за това как и защо стоят зад много от тези подвизи.
Може да е най-лошият код, който съм виждал.
Въпреки че Samsung може да не мисли за замяна на Android с Tizen на своите телефони и таблети, сегашната екосистема е такава предстои да бъде разширен в голяма степен: Samsung се ангажира да използва Tizen за повечето интелигентни уреди, които продава напред. Интелигентните хладилници звучат като чудесна идея, докато някой не хакне имейла ви през такъв.
Това може да е най-лошият код, който съм виждал, казва Нейдърман на дънната платка. Всичко, което можете да направите грешно там, те го правят. Виждате, че никой с каквото и да е разбиране за сигурността не е гледал или писал този код. Все едно да вземете студент и да му позволите да програмира вашия софтуер.
Всеки голям софтуерен проект ще има справедлив дял от грешки и експлойти. Докато някои са по-сериозни от други, повечето изследователи не гледат на Tizen по същия начин, по който са фокусирани върху Android, iOS и Windows. Това до голяма степен е защото Samsung ще продава повече Galaxy S8 телефони след седмица, която вероятно ще продава някога на телефони с Tizen. Но това пренебрегва няколко от успешните продуктови линии на Samsung, включително Умен часовник Gear S3 които много от нас имат на китката си в момента. Neiderman продължава със сериозен нюанс към екипа за разработка на Samsung за Tizen.
[Neiderman] казва, че голяма част от кодовата база на Tizen е стара и е заета от предишни проекти за кодиране на Samsung, включително Bada, предишна операционна система за мобилни телефони, която Samsung прекрати.
Но повечето от уязвимостите, които той откри, всъщност бяха в нов код, написан специално за Tizen през последните две години. Много от тях са грешките, които програмистите са правили преди двадесет години, което показва, че на Samsung липсват основни практики за разработване на код и преглед, за да предотврати и улови подобни недостатъци.
Това е особено тревожно поради няколко причини. Първо, кодът, който Samsung добавя към Android, няма процес на партньорска проверка, тъй като не е такъв отворен код. Ако Samsung, както се твърди, липсва по отношение на техниките за кодиране и преглед, същите видове грешки може да има изобилие и в портфолиото му за Android. Дори и да не е така, семейството часовници Samsung Gear е свързано с немалко устройства с Android и споделя много информация, която може да бъде отворена за някого с подходящите инструменти и малко знаеш как.
Нападателят може да инсталира всеки софтуер, който им харесва, чрез приложението TizenStore.
Дори токенизирани финансови данни чрез Samsung Pay трябва да живее на вашия часовник на някакво ниво, дори само достатъчно дълго, за да се прехвърли към терминал за плащане или обратно към вашата банка. За щастие, той се съхранява е начин, който го прави най-вече безполезен без ключовете за дешифриране и препратка към това, за което е предназначен токенът.
Всичко това настрана, най-големият проблем е проблемът с магазина за приложения и инсталатора на Tizen.
Една дупка в сигурността, която Нейдърман разкри, беше особено критична. Той включва приложението TizenStore на Samsung - версията на Google Play Store на Samsung, което доставя приложения и актуализации на софтуера на устройства Tizen. Нейдърман казва, че недостатък в дизайна му е позволил да отвлече софтуера, за да достави злонамерен код на своя телевизор Samsung.
Това е тапа на шоуто. Приложението TizenStore работи с абсолютни системни привилегии и може да инсталира и изпълнява всичко, без вторичен вход от потребителя. Отвличането на този процес и използването му за инсталиране на инструменти за отдалечен достъп и предоставяне на системни привилегии означава, че нападателят може да прави почти всичко, което им хареса. Всяко устройство с достъп до TizenStore или друг начин за инсталиране на приложения на Tizen е потенциално уязвимо, включително Samsung Gear семейство.
Не съветваме никого да изхвърля часовника или телевизията си. Свързахме се с Samsung, който казва на дънната платка, че работи с Neiderman, за да приведе всичко във форма, и ще актуализираме, когато чуем нещо.
Засега проявете същата предпазливост, както с компютър с Windows или при странично зареждане на приложения за Android, докато използвате своите джаджи, задвижвани от Tizen.
Слушали ли сте Android Central Podcast тази седмица?
Всяка седмица Android Central Podcast ви предоставя най-новите технологични новини, анализи и актуални снимки, с познати съ-домакини и специални гости.
- Абонирайте се за Pocket Casts: Аудио
- Абонирайте се в Spotify: Аудио
- Абонирайте се в iTunes: Аудио
Можем да спечелим комисионна за покупки, използвайки нашите връзки. Научете повече.
Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!
Най-добрите безжични слушалки са удобни, звучат страхотно, не струват прекалено много и лесно се побират в джоба.
Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други.
Sony официално потвърди, че работи по PlayStation 5. Ето всичко, което знаем за него до момента.
Nokia пуска два нови бюджетни телефона Android One под $ 200.
Nokia 2.4 и Nokia 3.4 са най-новите допълнения към бюджетната гама смартфони на HMD Global. Тъй като и двете са устройства с Android One, гарантирано ще получат две основни актуализации на ОС и редовни актуализации на защитата до три години.
Персонализирайте вашия Samsung Gear S3 с нова лента за часовници.
Samsung Gear S3 все още е един от любимите ни интелигентни часовници. Най-хубавото е, че Samsung улеснява надграждането на групата до нещо ново.