Hablando con un investigador de seguridad israelí Amihai Neiderman de Software Equus, tarjeta madre nos dice que actualmente hay 40 vulnerabilidades de seguridad no informadas que permitirían la ejecución remota y la piratería de todos los televisores, relojes o teléfonos Samsung que usan Tizen como el sistema operativo. Más graves son algunas acusaciones sobre el cómo y el por qué detrás de muchas de estas hazañas.
Puede que sea el peor código que he visto en mi vida.
Si bien Samsung puede no estar pensando en reemplazar Android con Tizen en sus teléfonos y tabletas, el ecosistema actual es a punto de expandirse a lo grande: Samsung se compromete a utilizar Tizen en la mayoría de los dispositivos inteligentes que vende adelante. Los refrigeradores inteligentes suenan como una gran idea hasta que alguien piratea tu correo electrónico a través de uno.
Puede que sea el peor código que he visto en mi vida, le dice Neiderman a Motherboard. Todo lo que puedes hacer mal allí, lo hacen ellos. Puede ver que nadie con conocimientos de seguridad miró este código ni lo escribió. Es como tomar a un estudiante universitario y dejar que programe su software.
Cualquier gran proyecto de software tendrá una buena cantidad de errores y exploits. Si bien algunos son más serios que otros, la mayoría de los investigadores no miran a Tizen de la misma manera que se enfocan en Android, iOS y Windows. Eso es en gran parte porque Samsung venderá más Galaxy S8 teléfonos en una semana que probablemente alguna vez venda de teléfonos con Tizen. Pero eso pasa por alto varias de las exitosas líneas de productos de Samsung, incluida la Reloj inteligente Gear S3 que muchos de nosotros tenemos en la muñeca ahora mismo. Neiderman continúa con una sombra seria hacia el equipo de desarrollo de Samsung para Tizen.
[Neiderman] dice que gran parte del código base de Tizen es antiguo y toma prestado de proyectos de codificación anteriores de Samsung, incluido Bada, un sistema operativo anterior para teléfonos móviles que Samsung descontinuó.
Pero la mayoría de las vulnerabilidades que encontró estaban en realidad en un nuevo código escrito específicamente para Tizen en los últimos dos años. Muchos de ellos son el tipo de errores que los programadores estaban cometiendo hace veinte años, lo que indica que Samsung carece de prácticas básicas de desarrollo y revisión de código para prevenir y detectar tales fallas.
Esto es particularmente preocupante por varias razones. En primer lugar, el código que Samsung agrega a Android no tiene un proceso de revisión por pares, ya que no lo es fuente abierta. Si Samsung, como se afirma, carece de técnicas de codificación y revisión, el mismo tipo de errores también podrían ser abundantes en su cartera de Android. Incluso si este no es el caso, la familia de relojes Samsung Gear está conectada a bastantes dispositivos Android y comparte mucha información que podría estar abierta a alguien con las herramientas adecuadas y un poco de saber como.
Un atacante puede instalar cualquier software que desee a través de la aplicación TizenStore.
Incluso datos financieros tokenizados a través de Samsung Pay tiene que vivir en su reloj en algún nivel, aunque solo sea el tiempo suficiente para transmitir a una terminal de pago o de regreso a su banco. Afortunadamente, se almacena de una manera que lo hace casi inútil sin las claves para descifrarlo y una referencia a para qué sirve el token.
Aparte de todo esto, el mayor problema es un problema con la tienda y el instalador de aplicaciones Tizen.
Un agujero de seguridad descubierto por Neiderman fue particularmente crítico. Se trata de la aplicación TizenStore de Samsung, la versión de Samsung de Google Play Store, que ofrece aplicaciones y actualizaciones de software a los dispositivos Tizen. Neiderman dice que una falla en su diseño le permitió secuestrar el software para entregar código malicioso a su televisor Samsung.
Este es un tapón de espectáculo. La aplicación TizenStore se ejecuta con privilegios absolutos del sistema y puede instalar y ejecutar cualquier cosa sin una entrada secundaria del usuario. Secuestrar este proceso y usarlo para instalar herramientas de acceso remoto y otorgarles privilegios del sistema significa que un atacante puede hacer casi todo lo que quiera. Cada dispositivo con acceso a TizenStore u otra forma de instalar aplicaciones Tizen es potencialmente vulnerable, incluido el Familia Samsung Gear.
No estamos aconsejando a nadie que tire su reloj o televisión. Nos comunicamos con Samsung, que le dice a Motherboard que está trabajando con Neiderman para poner todo en forma, y actualizaremos cuando escuchemos algo.
Por ahora, tenga la misma precaución que con una computadora con Windows o al descargar aplicaciones de Android mientras usa sus dispositivos con tecnología Tizen.
¿Has escuchado el podcast central de Android de esta semana?
Todas las semanas, Android Central Podcast te ofrece las últimas noticias tecnológicas, análisis y tomas calientes, con coanfitriones familiares e invitados especiales.
- Suscríbete en Pocket Casts: Audio
- Suscríbete en Spotify: Audio
- Suscríbete en iTunes: Audio
Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.
Estos son los mejores auriculares inalámbricos que puede comprar a cualquier precio.
Los mejores auriculares inalámbricos son cómodos, suenan muy bien, no cuestan demasiado y caben fácilmente en un bolsillo.
Todo lo que necesita saber sobre la PS5: fecha de lanzamiento, precio y más.
Sony ha confirmado oficialmente que está trabajando en PlayStation 5. Aquí está todo lo que sabemos hasta ahora.
Nokia lanza dos nuevos teléfonos Android One económicos por menos de $ 200.
Nokia 2.4 y Nokia 3.4 son las últimas incorporaciones a la línea de teléfonos inteligentes económicos de HMD Global. Dado que ambos son dispositivos Android One, se garantiza que recibirán dos actualizaciones importantes del sistema operativo y actualizaciones de seguridad periódicas durante un máximo de tres años.
Personaliza tu Samsung Gear S3 con una nueva correa de reloj.
El Samsung Gear S3 sigue siendo uno de nuestros relojes inteligentes favoritos. Lo mejor de todo es que Samsung facilita la actualización de la banda a algo nuevo.