Puhuminen Israelin turvallisuustutkijan kanssa Amihai Neiderman / Equus-ohjelmisto, Emolevy kertoo meille, että tällä hetkellä on 40 ilmoittamatonta tietoturva-aukkoa, jotka mahdollistavat etäsuorittamisen ja hakkeroinnin jokaiselle Samsung-televisiolle, kellolle tai puhelimelle, joka käyttää Tizen käyttöjärjestelmänä. Vakavampia on joitain väitteitä siitä, miten ja miksi monet näistä hyökkäyksistä ovat takana.
Se voi olla pahin koodi, jonka olen koskaan nähnyt.
Vaikka Samsung ei ehkä ajattele Androidin korvaamista Tizenillä puhelimissaan ja tableteissaan, nykyinen ekosysteemi on aiotaan laajentaa suurella tavalla: Samsung on sitoutunut käyttämään Tizenia useimmissa jokaisessa myymässään älylaitteessa eteenpäin. Älykkäät jääkaapit kuulostavat hyvältä ajatukselta, kunnes joku hakkeroi sähköpostisi sellaisen kautta.
Se voi olla pahin koodi, jonka olen koskaan nähnyt, Neiderman kertoo emolevylle. Kaikki mitä voit tehdä väärin siellä, he tekevät sen. Voit nähdä, että kukaan, joka ymmärtää tietoturvaa turvallisuudesta, ei tarkastellut tai kirjoittanut sitä. Se on kuin ottaisi perustutkinnon suorittaneen ja annat hänen ohjelmoida ohjelmistosi.
Kaikilla suurilla ohjelmistoprojekteilla on kohtuullinen osuus virheistä ja hyödynnöistä. Vaikka jotkut ovat vakavampia kuin toiset, useimmat tutkijat eivät katso Tizenia samalla tavalla kuin keskittyivät Androidiin, iOS: ään ja Windowsiin. Tämä johtuu suurelta osin siitä, että Samsung myy enemmän Galaxy S8 puhelimia viikossa, että se todennäköisesti koskaan myy puhelimia, joissa on Tizen. Mutta se unohtaa useita Samsungin menestyviä tuotelinjoja, mukaan lukien Gear S3 -älykello joka monilla meistä on tällä hetkellä ranteessamme. Neiderman jatkaa vakavasti Samsungin Tizen-kehitystiimiä.
[Neiderman] sanoo, että suuri osa Tizen-koodikannasta on vanhaa ja lainaa aiemmista Samsung-koodausprojekteista, mukaan lukien Bada, edellinen matkapuhelinkäyttöjärjestelmä, jonka Samsung lopetti.
Mutta suurin osa hänen löytämistään haavoittuvuuksista oli oikeastaan uudessa koodissa, joka oli kirjoitettu nimenomaan Tizenille kahden viime vuoden aikana. Monet heistä ovat sellaisia virheitä, joita ohjelmoijat tekivät kaksikymmentä vuotta sitten, mikä osoittaa, että Samsungilla ei ole koodin peruskehitystä ja tarkistuskäytäntöjä tällaisten virheiden estämiseksi ja havaitsemiseksi.
Tämä on erityisen huolestuttavaa useista syistä. Ensinnäkin, koodilla, jonka Samsung lisää Androidiin, ei ole vertaisarviointiprosessia, koska se ei ole avoin lähdekoodi. Jos Samsungista, kuten väitettiin, puuttuu koodaus- ja tarkistustekniikat, samankaltaisia virheitä voi olla runsaasti myös sen Android-salkussa. Vaikka näin ei olisikaan, Samsung Gear -kelloperhe on kytketty moniin Android-laitteisiin ja jakaa paljon tietoa, joka voisi olla avoin jollekin oikeilla työkaluilla ja vähän tietotaito.
Hyökkääjä voi asentaa minkä tahansa haluamansa ohjelmiston TizenStore-sovelluksen kautta.
Jopa merkityt taloudelliset tiedot läpi Samsung Pay on elettävä kellossasi jossain tasossa, vaikka vain tarpeeksi kauan lähettääksesi maksupäätteelle tai takaisin pankkiin. Onneksi se on tallennettu tapa, joka tekee sen enimmäkseen arvottomaksi ilman avaimia sen salauksen purkamiseen ja viittaukseen merkin tarkoitukseen.
Kaiken tämän lisäksi suurin ongelma on ongelma Tizen-sovelluskaupassa ja asennusohjelmassa.
Yksi turva-aukko, jota Neiderman paljasti, oli erityisen kriittinen. Se sisältää Samsungin TizenStore-sovelluksen - Samsungin Google Play Kaupan version -, joka toimittaa sovelluksia ja ohjelmistopäivityksiä Tizen-laitteille. Neiderman sanoo, että suunnitteluvirhe antoi hänen kaapata ohjelmisto toimittaa haitallista koodia Samsung-televisioonsa.
Tämä on näyttelykorkki. TizenStore-sovellus toimii ehdottomilla järjestelmän oikeuksilla ja voi asentaa ja suorittaa mitä tahansa ilman käyttäjän toissijaista syötettä. Tämän prosessin kaappaaminen ja sen käyttö etäkäyttöön tarkoitettujen työkalujen asentamiseen ja järjestelmän käyttöoikeuksien myöntämiseen tarkoittaa, että hyökkääjä voi tehdä melkein mitä tahansa. Jokainen laite, jolla on pääsy TizenStore-kauppaan tai jokin muu tapa asentaa Tizen-sovelluksia, on mahdollisesti haavoittuva, mukaan lukien Samsung Gear -perhe.
Emme suosittele kenenkään heittämään kelloaan tai televisiotaan. Olemme ottaneet yhteyttä Samsungiin, joka kertoo emolevylle, että se työskentelee Neidermanin kanssa saadakseen kaiken kunnossa, ja päivitämme, kun kuulemme jotain.
Toista toistaiseksi sama varovaisuus kuin Windows-tietokoneella tai Android-sovelluksia ladattaessa sivulle Tizen-käyttöisten laitteiden kanssa.
Oletko kuunnellut tämän viikon Android Central Podcastia?
Joka viikko Android Central Podcast tuo sinulle viimeisimmät tekniset uutiset, analyysit ja pikaviestit tuttujen isäntien ja erikoisvieraiden kanssa.
- Tilaa Pocket Casts: Audio
- Tilaa Spotify: Audio
- Tilaa iTunesissa: Audio
Voimme ansaita palkkion ostoksistamme linkkien avulla. Lisätietoja.
Nämä ovat parhaat langattomat nappikuulokkeet, joita voit ostaa joka hintaan!
Parhaat langattomat nappikuulokkeet ovat mukavia, kuulostavat hyviltä, eivät maksa liikaa ja sopivat helposti taskuun.
Kaikki mitä sinun tarvitsee tietää PS5: stä: Julkaisupäivä, hinta ja paljon muuta.
Sony on virallisesti vahvistanut työskentelevänsä PlayStation 5: llä. Tässä on kaikki mitä tiedämme siitä toistaiseksi.
Nokia tuo markkinoille kaksi uutta edullista Android One -puhelinta, joiden hinta on alle 200 dollaria.
Nokia 2.4 ja Nokia 3.4 ovat viimeisimmät lisäykset HMD Globalin budjetin älypuhelinten kokoonpanoon. Koska ne ovat molemmat Android One -laitteita, heille taataan kaksi merkittävää käyttöjärjestelmän päivitystä ja säännöllisiä tietoturvapäivityksiä jopa kolmen vuoden ajan.
Mukauta Samsung Gear S3 uudella kellonauhalla.
Samsung Gear S3 on edelleen yksi suosikki älykelloistamme. Mikä parasta, Samsungin avulla on helppo päivittää bändi uudeksi.