Snakker med israelsk sikkerhetsforsker Amihai Neiderman av Equus-programvare, Hovedkort forteller oss at det for øyeblikket er 40 urapporterte sikkerhetsproblemer som vil tillate ekstern kjøring og hacking av hver Samsung TV, klokke eller telefon som bruker Tizen som operativsystem. Mer alvorlig er noen påstander om hvordan og hvorfor bak mange av disse bedriftene.
Det kan være den verste koden jeg noensinne har sett.
Mens Samsung kanskje ikke tenker på å erstatte Android med Tizen på sine telefoner og nettbrett, er det nåværende økosystemet snart utvidet på en stor måte: Samsung er forpliktet til å bruke Tizen på de fleste smarte apparater de selger framover. Smarte kjøleskap høres ut som en god idé til noen hakker e-postmeldingen din gjennom en.
Det kan være den verste koden jeg noen gang har sett, sier Neiderman til hovedkortet. Alt du kan gjøre galt der, gjør de det. Du kan se at ingen med noen forståelse av sikkerhet så på denne koden eller skrev den. Det er som å ta en lavere grad og la ham programmere programvaren din.
Ethvert stort programvareprosjekt vil ha en god andel av feil og utnyttelser. Mens noen er mer seriøse enn andre, ser de fleste forskere ikke på Tizen på samme måte som de er fokusert på Android, iOS og Windows. Det er i stor grad fordi Samsung vil selge mer Galaxy S8 telefoner om en uke som det sannsynligvis noen gang vil selge av telefoner som kjører Tizen. Men det har utsikt over flere av Samsungs vellykkede produktlinjer, inkludert Gear S3 smartklokke som mange av oss har på håndleddet akkurat nå. Neiderman fortsetter med en seriøs skygge mot Samsungs utviklingsteam for Tizen.
[Neiderman] sier at mye av Tizen-kodebasen er gammel og låner fra tidligere Samsung-kodingsprosjekter, inkludert Bada, et tidligere operativsystem for mobiltelefoner som Samsung avviklet.
Men de fleste av sårbarhetene han fant, var faktisk i en ny kode skrevet spesielt for Tizen i løpet av de siste to årene. Mange av dem er den typen feil programmerere gjorde for tjue år siden, noe som indikerer at Samsung mangler grunnleggende kodeutvikling og gjennomgang for å forhindre og fange slike feil.
Dette er spesielt bekymringsfullt av flere grunner. For det første har koden Samsung legger til Android ingen peer review-prosess, da den ikke er åpen kilde. Hvis Samsung, som hevdet, mangler når det gjelder koding og gjennomgangsteknikker, kan de samme slags feil også være rikelig i Android-porteføljen. Selv om dette ikke er tilfelle, er Samsung Gear-familien av klokker koblet til ganske mange Android-enheter og deler mye informasjon som kan være åpen for noen med de riktige verktøyene og litt av det vet hvordan.
En angriper kan installere hvilken som helst programvare de liker gjennom TizenStore-applikasjonen.
Til og med tokeniserte økonomiske data gjennom Samsung Pay må leve på klokken din på et eller annet nivå, selv om det bare er lenge nok til å overføre til en betalingsterminal eller tilbake til banken din. Heldigvis er det lagret er en måte som gjør det stort sett verdiløst uten nøklene til å dekryptere det og en referanse til hva tokenet er for.
Alt dette til side er det største problemet et problem med Tizen-applikasjonsbutikken og installasjonsprogrammet.
Et sikkerhetshull Neiderman avdekket var spesielt kritisk. Det involverer Samsungs TizenStore-app - Samsungs versjon av Google Play Store - som leverer apper og programvareoppdateringer til Tizen-enheter. Neiderman sier at en feil i utformingen tillot ham å kapre programvaren for å levere skadelig kode til sin Samsung TV.
Dette er en show stopper. TizenStore-appen kjører med absolutte systemrettigheter og kan installere og kjøre alt uten sekundær inngang fra brukeren. Å kapre denne prosessen og bruke den til å installere verktøy for ekstern tilgang og gi dem systemrettigheter betyr at en angriper kan gjøre omtrent hva de vil. Hver enhet med tilgang til TizenStore eller annen måte å installere Tizen-applikasjoner på er potensielt sårbar, inkludert Samsung Gear-familien.
Vi råder ingen til å kaste ut klokken eller TV-en. Vi har nådd ut til Samsung, som forteller hovedkortet at det jobber med Neiderman for å få alt i form, og vi oppdaterer når vi hører noe.
For øyeblikket må du utvise samme forsiktighet som når du bruker en Windows-datamaskin eller når du laster Android-applikasjoner sidelengs mens du bruker Tizen-drevne gadgets.
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse ørepluggene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett for smarttelefoner. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Tilpass Samsung Gear S3 med et nytt klokkerem.
Samsung Gear S3 er fortsatt en av våre favoritt smartklokker. Best av alt, Samsung gjør det enkelt å oppgradere bandet til noe nytt.