Razgovarajući s izraelskim istraživačem sigurnosti Amihai Neiderman od Equus softver, Matična ploča govori nam da trenutno postoji 40 neprijavljenih sigurnosnih ranjivosti koje bi omogućile daljinsko izvršavanje i hakiranje svakog Samsung televizora, sata ili telefona koji koristi Tizen kao operativni sustav. Ozbiljniji su neki navodi o tome kako i zašto stoje iza mnogih od tih iskorištavanja.
To je možda najgori kod koji sam ikad vidio.
Iako Samsung možda ne razmišlja o zamjeni Androida s Tizenom na svojim telefonima i tabletima, trenutni ekosustav jest uskoro će se proširiti u velikoj mjeri: Samsung se zalaže za korištenje Tizena na većini svih pametnih uređaja koje prodaje naprijed. Pametni hladnjaci zvuče kao izvrsna ideja dok vam netko ne hakira e-poštu.
To je možda najgori kod koji sam ikad vidio, kaže Neiderman matičnoj ploči. Sve što tamo možete pogriješiti, oni to čine. Možete vidjeti da nitko tko je ikako razumio sigurnost nije pogledao ovaj kôd ili ga napisao. To je kao da uzmete dodiplomskog i pustite ga da programira vaš softver.
Bilo koji veliki softverski projekt imat će popriličan udio bugova i iskorištavanja. Iako su neki ozbiljniji od drugih, većina istraživača ne gleda na Tizen na isti način na koji su usredotočeni na Android, iOS i Windows. To je uglavnom zato što će Samsung prodavati više Galaxy S8 telefone za tjedan dana koji će vjerojatno ikad prodati telefone s Tizenom. Ali to previđa nekoliko uspješnih Samsungovih linija proizvoda, uključujući i Pametni sat Gear S3 koje mnogi od nas trenutno imaju na zapešću. Neiderman nastavlja s ozbiljnim nagovještajem prema Samsungovom razvojnom timu za Tizen.
[Neiderman] kaže da je velik dio baze Tizen koda star i posuđen iz prethodnih Samsungovih projekata kodiranja, uključujući Bada, prethodni operativni sustav za mobilne telefone koji je Samsung prekinuo.
No većina ranjivosti koje je pronašao zapravo su u novom kodu napisanom posebno za Tizen u posljednje dvije godine. Mnoge od njih su vrsta pogrešaka koje su programeri radili prije dvadeset godina, što ukazuje na to da Samsungu nedostaju osnovne prakse razvoja koda i pregleda kako bi spriječio i uhvatio takve nedostatke.
To je posebno zabrinjavajuće iz nekoliko razloga. Prvo, kod koji Samsung dodaje Androidu nema postupak stručne provjere jer nije otvoreni izvor. Ako Samsungu, kako se tvrdi, nedostaje što se tiče tehnika kodiranja i pregledavanja, iste vrste pogrešaka moglo bi biti puno i u njegovom Android portfelju. Čak i ako to nije slučaj, obitelj satova Samsung Gear povezana je s nemali broj Android uređaja i dijeli puno informacija koje bi nekome mogle biti otvorene s pravim alatima i malo znati kako.
Napadač može instalirati bilo koji softver koji im se sviđa putem aplikacije TizenStore.
Čak i tokenizirani financijski podaci putem Samsung Pay mora živjeti na vašem satu na nekoj razini, čak i ako je dovoljno dugo za prijenos na terminal za plaćanje ili natrag u vašu banku. Srećom, pohranjeno je na način koji ga čini bezvrijednim bez ključeva za dešifriranje i reference čemu služi token.
Sve ovo na stranu, najveći problem je problem s trgovinom aplikacija i instalacijskim programom Tizen.
Jedna sigurnosna rupa koju je Neiderman otkrio bila je posebno kritična. Uključuje Samsungovu aplikaciju TizenStore - Samsungovu verziju trgovine Google Play - koja isporučuje aplikacije i ažuriranja softvera na uređaje Tizen. Neiderman kaže da mu je nedostatak u dizajnu omogućio otmicu softvera za isporuku zlonamjernog koda na njegov Samsung TV.
Ovo je čep emisije. Aplikacija TizenStore radi s apsolutnim privilegijama sustava i može instalirati i pokrenuti sve bez sekundarnog unosa od korisnika. Otmica ovog procesa i upotreba za instaliranje alata za daljinski pristup i dodjeljivanje privilegija sustava znači da napadač može učiniti sve što im se sviđa. Svaki uređaj s pristupom TizenStoreu ili drugim načinom instaliranja Tizen aplikacija potencijalno je ranjiv, uključujući i Samsung Gear obitelj.
Ne savjetujemo nikome da baci sat ili televiziju. Pozvali smo Samsung, koji matičnoj ploči govori da surađuje s Neidermanom kako bi sve dobio formu, a ažurirat ćemo ga kad nešto čujemo.
Za sada budite oprezni kao s Windows računalom ili prilikom bočnog učitavanja Android aplikacija dok upotrebljavate svoje uređaje s Tizenom.
Jeste li slušali ovotjedni Android Central Podcast?
Svaki tjedan Android Central Podcast donosi vam najnovije tehnološke vijesti, analize i popularne snimke, uz poznate suvoditelje i posebne goste.
- Pretplatite se na Pocket Casts: Audio
- Pretplatite se na Spotify: Audio
- Pretplatite se na iTunes: Audio
Možemo zaraditi proviziju za kupnju koristeći naše poveznice. Saznajte više.
Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.
Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.
Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.
Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.
Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će dobiti dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.
Prilagodite svoj Samsung Gear S3 novim remenom za sat.
Samsung Gear S3 i dalje je jedan od naših omiljenih pametnih satova. Najbolje od svega je što Samsung olakšava nadogradnju benda na nešto novo.