Vesteldes Iisraeli julgeoleku-uurijaga Amihai Neiderman kohta Equuse tarkvara, Emaplaat ütleb meile, et praegu on 40 teatamata turvaauku, mis võimaldaksid kaugkäivitust ja häkkimist kõigis Samsungi telerites, kellades või telefonides, mis kasutavad Tizen operatsioonisüsteemina. Tõsisemad on mõned väited selle kohta, kuidas ja miks paljude selliste ekspluateerimiste taga on.
See võib olla halvim kood, mida ma näinud olen.
Ehkki Samsung ei pruugi mõelda Androidi asendamisele oma telefonides ja tahvelarvutites Tizeniga, on praegune ökosüsteem siiski nii peagi laiendatakse suures plaanis: Samsung on pühendunud Tizeni kasutamisele enamikul kõigil nutitelefonidel, mida ta müüb edasi. Nutikad külmikud kõlavad suurepärase ideena, kuni keegi teie e-posti selle kaudu häkkib.
See võib olla halvim kood, mida kunagi näinud olen, ütleb Neiderman emaplaadile. Kõik, mida seal valesti teha saab, nad ka teevad. Näete, et keegi, kes vähegi turvatunnet mõistis, seda koodi ei vaadanud ega kirjutanud. See on sama, kui võtaksite bakalaureuseõppe ja laseksite tal oma tarkvara programmeerida.
Igas suures tarkvaraprojektis on õiglane osa vigadest ja ärakasutamistest. Kuigi mõned on tõsisemad kui teised, ei vaata enamik teadlasi Tizeni samamoodi, kui nad on keskendunud Androidile, iOS-ile ja Windowsile. Seda suuresti seetõttu, et Samsung müüb rohkem Galaxy S8 nädala pärast telefonid, mida ta tõenäoliselt kunagi müüb, kasutades Tizeni. Kuid see unustab mitut Samsungi edukat tootesarja, sealhulgas Gear S3 nutikell mis paljudel meist on praegu randmel. Neiderman jätkab Samsungi Tizeni arendustiimi tõsise varjundiga.
[Neidermani] sõnul on suur osa Tizeni koodibaasist vana ja laenab Samsungi varasematest kodeerimisprojektidest, sealhulgas Bada, eelmine mobiiltelefonide operatsioonisüsteem, mille Samsung lõpetas.
Kuid enamik tema leitud haavatavustest olid tegelikult uues koodis, mis on spetsiaalselt Tizeni jaoks kirjutatud viimase kahe aasta jooksul. Paljud neist on sellised vead, mida programmeerijad kakskümmend aastat tagasi tegid, viidates sellele, et Samsungil puuduvad selliste vigade ennetamiseks ja tabamiseks põhilised koodide väljatöötamise ja ülevaatamise tavad.
See on eriti murettekitav mitmel põhjusel. Esiteks pole koodil, mille Samsung lisab Androidile, vastastikuse eksperdihinnangu protsessi, kuna see pole nii avatud lähtekoodiga. Kui Samsungil, nagu väideti, puudub kodeerimise ja ülevaatamise tehnikate osas, võib sama tüüpi vigu olla ka tema Androidi portfellis. Isegi kui see pole nii, on Samsung Geari kellade perekond ühendatud üsna paljude Android-seadmetega ja jagab palju teavet, mis võiks olla kellelegi avatud õigete tööriistade ja vähesega tead kuidas.
Ründaja saab rakenduse TizenStore kaudu installida mis tahes tarkvara, mis neile meeldib.
Isegi tokeniseeritud finantsandmed läbi Samsung Pay peab mingil tasemel teie kellas elama, isegi kui see on piisavalt pikk, et makseterminali või tagasi oma panka edastada. Õnneks on see salvestatud viisil, mis muudab selle dekrüpteerimiseks ilma võtmeteta enamasti väärtusetuks ja viite sellele, milleks märk on mõeldud.
Kõike seda kõrvale jättes on suurim probleem Tizeni rakenduste poe ja installija probleem.
Eriti kriitiline oli üks Neidermani avastatud turvaauk. See hõlmab Samsungi rakendust TizenStore - Samsungi Google Play poe versiooni -, mis pakub rakendusi ja tarkvarauuendusi Tizeni seadmetesse. Neidermani sõnul võimaldas selle disaini viga tal tarkvara kaaperdada, et tema Samsungi telerisse pahatahtlik kood kohale toimetada.
See on näituse kork. TizenStore'i rakendus töötab absoluutsete süsteemiõigustega ja saab installida ja käitada kõike, ilma et kasutaja peaks sisestama sekundaarset sisendit. Selle protsessi kaaperdamine ja selle kasutamine kaugjuurdepääsu tööriistade installimiseks ja neile süsteemiõiguste andmine tähendab, et ründaja saab teha peaaegu kõike, mis neile meeldib. Kõik seadmed, millel on juurdepääs TizenStore'ile või muul viisil Tizeni rakenduste installimiseks, on potentsiaalselt haavatavad, sealhulgas Samsung Geari perekond.
Me ei soovita kellelgi oma kella või telerit välja visata. Oleme pöördunud Samsungi poole, kes ütleb emaplaadile, et teeb koostööd Nadermaniga, et kõik vormis saada, ja värskendame, kui midagi kuuleme.
Praegu olge Tizeni toega vidinate kasutamisel sama ettevaatlik kui Windowsi arvutis või Androidi rakenduste laadimisel.
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Need on parimad traadita kõrvaklapid, mida saate osta iga hinnaga!
Parimad traadita kõrvaklapid on mugavad, kõlavad suurepäraselt, ei maksa liiga palju ja sobivad lihtsalt taskusse.
Kõik, mida peate teadma PS5 kohta: väljaandmise kuupäev, hind ja palju muud.
Sony on ametlikult kinnitanud, et töötab PlayStation 5-ga. Siin on kõik, mida me selle kohta siiani teame.
Nokia toob turule kaks uut eelarvelist Android One telefoni, mis on alla 200 dollari.
Nokia 2.4 ja Nokia 3.4 on HMD Globali eelarveliste nutitelefonide valiku viimased täiendused. Kuna mõlemad on Android One seadmed, saavad nad kaks peamist OS-i värskendust ja regulaarset turvavärskendust kuni kolmeks aastaks.
Kohandage oma Samsung Gear S3 uue kellaribaga.
Samsung Gear S3 on endiselt üks meie lemmik nutikelladest. Kõige parem on see, et Samsung muudab bändi uueks muutmise lihtsaks.