Mit dem israelischen Sicherheitsforscher sprechen Amihai Neiderman von Equus Software, Hauptplatine Laut Angaben gibt es derzeit 40 nicht gemeldete Sicherheitslücken, die die Remote-Ausführung und das Hacken aller verwendeten Samsung-Fernseher, -Uhren oder -Telefone ermöglichen würden Tizen als Betriebssystem. Schwerwiegender sind einige Vorwürfe darüber, wie und warum viele dieser Exploits stecken.
Es ist vielleicht der schlechteste Code, den ich je gesehen habe.
Während Samsung möglicherweise nicht daran denkt, Android auf seinen Handys und Tablets durch Tizen zu ersetzen, ist dies das aktuelle Ökosystem Samsung steht kurz davor, Tizen auf fast allen Smart Appliances zu verwenden, die es verkauft nach vorne. Intelligente Kühlschränke klingen nach einer großartigen Idee, bis jemand Ihre E-Mail durch eine hackt.
Es ist vielleicht der schlechteste Code, den ich je gesehen habe, sagt Neiderman gegenüber Motherboard. Alles, was man dort falsch machen kann, machen sie. Sie können sehen, dass niemand mit einem Verständnis von Sicherheit diesen Code angesehen oder geschrieben hat. Es ist, als würde man einen Studenten nehmen und ihn Ihre Software programmieren lassen.
Jedes große Softwareprojekt hat einen fairen Anteil an Fehlern und Exploits. Während einige ernsthafter sind als andere, betrachten die meisten Forscher Tizen nicht so, wie sie sich auf Android, iOS und Windows konzentrieren. Das liegt hauptsächlich daran, dass Samsung mehr verkaufen wird Galaxy S8 Telefone in einer Woche, in der wahrscheinlich jemals Telefone mit Tizen verkauft werden. Dabei werden jedoch einige der erfolgreichen Produktlinien von Samsung übersehen, darunter die Gear S3 Smartwatch das haben viele von uns gerade am Handgelenk. Neiderman geht ernsthaft mit dem Samsung-Entwicklungsteam für Tizen um.
[Neiderman] sagt, dass ein Großteil der Tizen-Codebasis alt ist und aus früheren Samsung-Codierungsprojekten stammt, einschließlich Bada, einem früheren Mobiltelefon-Betriebssystem, das Samsung eingestellt hat.
Die meisten der von ihm gefundenen Sicherheitslücken waren jedoch in neuem Code enthalten, der in den letzten zwei Jahren speziell für Tizen geschrieben wurde. Viele davon sind die Art von Fehlern, die Programmierer vor zwanzig Jahren gemacht haben, was darauf hinweist, dass Samsung keine grundlegenden Methoden zur Codeentwicklung und -überprüfung besitzt, um solche Fehler zu verhindern und zu erkennen.
Dies ist aus mehreren Gründen besonders besorgniserregend. Erstens hat der Code, den Samsung zu Android hinzufügt, keinen Peer-Review-Prozess, da dies nicht der Fall ist Open Source. Wenn es Samsung, wie behauptet, an Codierungs- und Überprüfungstechniken mangelt, können die gleichen Fehler auch in seinem Android-Portfolio häufig vorkommen. Auch wenn dies nicht der Fall ist, ist die Samsung Gear-Uhrenfamilie mit einigen Android-Geräten verbunden und teilt eine Menge Informationen, die für jemanden mit den richtigen Tools und ein wenig offen sein könnten Fachwissen.
Ein Angreifer kann jede gewünschte Software über die TizenStore-Anwendung installieren.
Sogar tokenisierte Finanzdaten durch Samsung Pay muss auf einer bestimmten Ebene auf Ihrer Uhr leben, auch wenn diese nur lange genug ist, um an ein Zahlungsterminal oder zurück an Ihre Bank zu senden. Zum Glück ist es so gespeichert, dass es ohne die Schlüssel zum Entschlüsseln und einen Verweis darauf, wofür das Token bestimmt ist, größtenteils wertlos ist.
Abgesehen davon ist das größte Problem ein Problem mit dem Tizen-Anwendungsspeicher und dem Installationsprogramm.
Eine Sicherheitslücke, die Neiderman aufgedeckt hatte, war besonders kritisch. Es handelt sich um die Samsung TizenStore-App - Samsungs Version des Google Play Store -, die Apps und Software-Updates für Tizen-Geräte bereitstellt. Neiderman sagt, ein Fehler im Design habe es ihm ermöglicht, die Software zu entführen, um bösartigen Code auf seinen Samsung-Fernseher zu übertragen.
Dies ist ein Show Stopper. Die TizenStore-App wird mit absoluten Systemberechtigungen ausgeführt und kann alles ohne sekundäre Eingabe durch den Benutzer installieren und ausführen. Wenn ein Angreifer diesen Prozess entführt und damit Tools für den Remotezugriff installiert und ihnen Systemberechtigungen gewährt, kann er fast alles tun, was er möchte. Jedes Gerät mit Zugriff auf den TizenStore oder eine andere Möglichkeit zur Installation von Tizen-Anwendungen ist potenziell anfällig, einschließlich des Samsung Gear Familie.
Wir raten niemandem, seine Uhr oder seinen Fernseher wegzuwerfen. Wir haben uns an Samsung gewandt, das Motherboard mitteilt, dass es mit Neiderman zusammenarbeitet, um alles in Form zu bringen, und wir werden aktualisieren, sobald wir etwas hören.
Gehen Sie vorerst genauso vorsichtig vor wie bei einem Windows-Computer oder beim Seitenladen von Android-Anwendungen, während Sie Ihre Tizen-Geräte verwenden.
Haben Sie den Android Central Podcast dieser Woche gehört?
Der Android Central Podcast bietet Ihnen jede Woche die neuesten technischen Nachrichten, Analysen und aktuellen Einstellungen mit vertrauten Co-Hosts und besonderen Gästen.
- Abonnieren Sie in Pocket Casts: Audio
- Abonnieren Sie in Spotify: Audio
- In iTunes abonnieren: Audio
Wir können eine Provision für Einkäufe über unsere Links verdienen. Mehr erfahren.
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Passen Sie Ihr Samsung Gear S3 mit einem neuen Armband an.
Die Samsung Gear S3 ist immer noch eine unserer Lieblings-Smartwatches. Das Beste ist, dass Samsung es einfach macht, die Band auf etwas Neues aufzurüsten.