Beszélgetés izraeli biztonságkutatóval Amihai Neiderman nak,-nek Equus szoftver, Alaplap elmondja, hogy jelenleg 40 be nem jelentett biztonsági rés található, amelyek lehetővé teszik minden Samsung TV, óra vagy telefon távoli végrehajtását és feltörését Tizen mint az operációs rendszer. Súlyosabb néhány állítás arról, hogy ezeknek a kiaknázásoknak a hátterében hogyan és miért áll.
Lehet, hogy ez a legrosszabb kód, amit valaha láttam.
Bár a Samsung nem gondolkodik azon, hogy telefonjain és táblagépein az Androidot kicserélje a Tizen-re, a jelenlegi ökoszisztéma az hamarosan kibővülni fog: a Samsung elkötelezett amellett, hogy a Tizent az összes értékesített intelligens eszközön használja előre. Az intelligens hűtőszekrények nagyszerű ötletnek tűnnek, amíg valaki az egyiken keresztül nem csapja fel az e-mailt.
Lehet, hogy ez a legrosszabb kód, amit valaha láttam - mondja Neiderman az alaplapnak. Mindent megtesznek, amit ott rosszul tehetnek. Láthatja, hogy senki, aki értett a biztonsághoz, nem nézte meg és nem írta meg. Ez olyan, mintha egyetemistát választanánk, és hagynánk neki programozni a szoftverét.
Bármely nagy szoftverprojektnek megvan a maga aránya a hibákból és a kihasználásokból. Míg egyesek komolyabbak, mint mások, a legtöbb kutató nem ugyanúgy tekint a Tizenre, mint inkább az Androidra, az iOS-re és a Windows-ra. Ez nagyrészt azért van, mert a Samsung többet fog eladni Galaxy S8 telefonok egy héten belül, amelyek valószínűleg eladják a Tizent futtató telefonokat. De ez figyelmen kívül hagyja a Samsung számos sikeres termékcsaládját, beleértve a Gear S3 okosóra hogy sokunknak éppen a csuklóján van. Neiderman komoly árnyalattal folytatja a Samsung Tizen fejlesztői csapatát.
[Neiderman] szerint a Tizen kódbázis nagy része régi, és a Samsung korábbi kódolási projektjeiből kölcsönöz, beleértve a Bada-t is, egy korábbi mobiltelefon-operációs rendszert, amelyet a Samsung megszüntetett.
De a legtöbb sérülékenységet valóban megtalálta egy új kódban, amelyet kifejezetten a Tizen számára írtak az elmúlt két évben. Közülük sok olyan hibát követett el a programozók, akik húsz évvel ezelőtt követték el, jelezve, hogy a Samsungnak hiányzik az alapvető kódfejlesztési és felülvizsgálati gyakorlat az ilyen hibák megelőzésére és felderítésére.
Ez több okból is különösen aggasztó. Először is, a Samsung által az Androidhoz hozzáadott kódnak nincs szakértői felülvizsgálati folyamata, mivel nem az nyílt forráskód. Ha a Samsung, amint azt állították, hiányzik a kódolásról és az áttekintési technikákról, akkor az Android-portfóliójában is ugyanolyan hibák fordulhatnak elő. Még ha nem is ez a helyzet, a Samsung Gear óracsalád jó néhány Android-eszközhöz csatlakozik és sok olyan információt oszt meg, amely a megfelelő eszközökkel és egy kicsit hozzáférhető lehet valaki előtt tudják, hogyan.
A támadó tetszőleges szoftvert telepíthet a TizenStore alkalmazáson keresztül.
Még tokenizált pénzügyi adatokat is Samsung Pay valamilyen szinten az óráján kell élnie, még akkor is, ha csak annyi ideig, hogy továbbítson egy fizetési terminálra vagy vissza a bankjához. Szerencsére a tárolás egy olyan módszer, amely többnyire értéktelenné teszi a kulcsok visszafejtését és hivatkozást arra, hogy mire szolgál a token.
Mindezeket leszámítva a legnagyobb probléma a Tizen alkalmazásbolt és a telepítő problémája.
Az egyik biztonsági lyuk, amelyet Neiderman fedezett fel, különösen kritikus volt. Ez magában foglalja a Samsung TizenStore alkalmazását - a Samsung Google Play Store verzióját -, amely alkalmazásokat és szoftverfrissítéseket juttat el a Tizen eszközökhöz. Neiderman szerint a tervezés hibája lehetővé tette, hogy eltérítse a szoftvert, hogy rosszindulatú kódot juttasson el Samsung TV-jéhez.
Ez egy show dugó. A TizenStore alkalmazás abszolút rendszerjogosultságokkal fut, és bármit telepíthet és futtathat a felhasználó másodlagos bemenete nélkül. Ennek a folyamatnak az eltérítése és a távoli eléréshez szükséges eszközök telepítése, valamint a rendszerjogosultságok megadása azt jelenti, hogy a támadó bármit megtehet, amit szeret. Minden eszköz, amely hozzáfér a TizenStore-hoz, vagy más módon telepítheti a Tizen-alkalmazásokat, potenciálisan sérülékeny, beleértve a Samsung Gear család.
Nem javasoljuk senkinek, hogy dobja ki az óráját vagy a televíziót. Megkerestük a Samsungot, amely elmondja az alaplapnak, hogy együtt dolgozik Neidermannal, hogy minden formában legyen, és frissítünk, ha hallunk valamit.
Egyelőre ugyanolyan óvatossággal járjon el, mint egy Windows-számítógéppel, vagy amikor az Android-alkalmazásokat oldalra tölti, miközben a Tizen-alapú modulokat használja.
Hallgatta már a hét Android Central Podcastját?
Az Android Central Podcast minden héten a legfrissebb technológiai híreket, elemzéseket és gyors felvételeket hozza meg ismerős társtartókkal és különleges vendégekkel.
- Feliratkozás a Pocket Cast-okra: Hang
- Feliratkozás a Spotify-ra: Hang
- Feliratkozás az iTunes-ra: Hang
Linkjeink segítségével jutalékot kaphatunk a vásárlásokért. Tudj meg többet.
Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!
A legjobb vezeték nélküli fülhallgató kényelmes, remekül hangzik, nem kerül túl sokba, és könnyen elfér a zsebében.
Minden, amit tudnia kell a PS5-ről: Kiadás dátuma, ára és még sok más.
A Sony hivatalosan megerősítette, hogy a PlayStation 5-en dolgozik. Itt van minden, amit eddig tudtunk róla.
A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob piacra.
A Nokia 2.4 és a Nokia 3.4 a legújabb kiegészítés a HMD Global költségvetési okostelefon-kínálatában. Mivel mindkettő Android One eszköz, garantáltan két fő operációs rendszer frissítést és rendszeres biztonsági frissítést kapnak akár három évig is.
Testreszabhatja Samsung Gear S3 készülékét egy új karórával.
A Samsung Gear S3 továbbra is az egyik kedvenc okosóránk. A legjobb az egészben, hogy a Samsung megkönnyíti a zenekar valami újra való frissítését.