Ik sprak met een Israëlische veiligheidsonderzoeker Amihai Neiderman van Equus Software, Moederbord vertelt ons dat er momenteel 40 niet-gerapporteerde beveiligingsproblemen zijn die het uitvoeren en hacken van elke Samsung-tv, horloge of telefoon op afstand mogelijk maken. Tizen als besturingssysteem. Ernstiger zijn enkele beschuldigingen over het hoe en waarom achter veel van deze exploits.
Het is misschien wel de slechtste code die ik ooit heb gezien.
Hoewel Samsung er misschien niet aan denkt om Android te vervangen door Tizen op zijn telefoons en tablets, is het huidige ecosysteem dat wel staat op het punt om op een grote manier te worden uitgebreid: Samsung zet zich in om Tizen te gebruiken op vrijwel elk slim apparaat dat het verkoopt vooruit. Slimme koelkasten klinken als een geweldig idee totdat iemand je e-mail via een hack hackt.
Het is misschien wel de slechtste code die ik ooit heb gezien, zegt Neiderman tegen Motherboard. Alles wat je daar fout kunt doen, doen ze het. U kunt zien dat niemand met enig begrip van beveiliging naar deze code heeft gekeken of deze heeft geschreven. Het is alsof je een bachelor volgt en hem je software laat programmeren.
Elk groot softwareproject zal een behoorlijk aantal bugs en exploits hebben. Hoewel sommige serieuzer zijn dan andere, kijken de meeste onderzoekers niet naar Tizen op dezelfde manier waarop ze gefocust zijn op Android, iOS en Windows. Dat komt grotendeels omdat Samsung meer gaat verkopen Galaxy S8 telefoons in een week die het waarschijnlijk ooit zal verkopen van telefoons met Tizen. Maar dat ziet een aantal van de succesvolle productlijnen van Samsung over het hoofd, waaronder de Gear S3 smartwatch die velen van ons nu om onze pols hebben. Neiderman gaat verder met een serieuze schaduw richting het ontwikkelingsteam van Samsung voor Tizen.
[Neiderman] zegt dat veel van de Tizen-codebasis oud is en leent van eerdere coderingsprojecten van Samsung, waaronder Bada, een eerder besturingssysteem voor mobiele telefoons dat Samsung heeft stopgezet.
Maar de meeste van de kwetsbaarheden die hij ontdekte, zaten in feite in nieuwe code die de afgelopen twee jaar speciaal voor Tizen was geschreven. Velen van hen zijn het soort fouten dat programmeurs twintig jaar geleden maakten, wat aangeeft dat Samsung de basiscode-ontwikkeling en herzieningspraktijken mist om dergelijke fouten te voorkomen en op te lossen.
Dit is om verschillende redenen bijzonder zorgwekkend. Ten eerste heeft de code die Samsung aan Android toevoegt geen peer review-proces, omdat dat niet zo is open source. Als Samsung, zoals beweerd, tekortschiet als het gaat om codering en review-technieken, kunnen dezelfde soorten fouten ook overvloedig voorkomen in zijn Android-portfolio. Zelfs als dit niet het geval is, is de Samsung Gear-horlogefamilie verbonden met nogal wat Android-apparaten en deelt veel informatie die open zou kunnen staan voor iemand met de juiste tools en een beetje weet hoe.
Een aanvaller kan elke gewenste software installeren via de TizenStore-applicatie.
Zelfs getokeniseerde financiële gegevens door Samsung Pay moet op een bepaald niveau op uw horloge leven, ook al is het maar lang genoeg om naar een betaalterminal of terug naar uw bank te verzenden. Gelukkig is het opgeslagen op een manier die het meestal waardeloos maakt zonder de sleutels om het te decoderen en een verwijzing naar waar het token voor is.
Dit alles terzijde, het grootste probleem is een probleem met de Tizen-toepassingswinkel en het installatieprogramma.
Eén beveiligingslek dat Neiderman ontdekte, was bijzonder kritiek. Het betreft de TizenStore-app van Samsung, de Samsung-versie van de Google Play Store, die apps en software-updates levert aan Tizen-apparaten. Neiderman zegt dat een fout in het ontwerp hem in staat stelde de software te kapen om kwaadaardige code naar zijn Samsung-tv te sturen.
Dit is een showstopper. De TizenStore-app werkt met absolute systeembevoegdheden en kan alles installeren en uitvoeren zonder secundaire input van de gebruiker. Door dit proces te kapen en het te gebruiken om tools voor externe toegang te installeren en hen systeembevoegdheden te verlenen, kan een aanvaller zo ongeveer alles doen wat hij wil. Elk apparaat met toegang tot de TizenStore of een andere manier om Tizen-applicaties te installeren is potentieel kwetsbaar, inclusief de Samsung Gear-familie.
We adviseren niemand om zijn horloge of televisie weg te gooien. We hebben contact opgenomen met Samsung, die Motherboard vertelt dat het samenwerkt met Neiderman om alles in vorm te krijgen, en we zullen updaten als we iets horen.
Voorlopig moet u dezelfde voorzichtigheid in acht nemen als met een Windows-computer of bij het sideloaden van Android-applicaties terwijl u uw door Tizen aangedreven gadgets gebruikt.
Heb je geluisterd naar de Android Central Podcast van deze week?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneren op Spotify: Audio
- Abonneer je in iTunes: Audio
We kunnen een commissie verdienen voor aankopen via onze links. Kom meer te weten.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
Personaliseer je Samsung Gear S3 met een nieuwe horlogeband.
De Samsung Gear S3 is nog steeds een van onze favoriete smartwatches. Het beste van alles is dat Samsung het gemakkelijk maakt om de band te upgraden naar iets nieuws.