Беседа с израильским исследователем безопасности Амихай Нейдерман из Программное обеспечение Equus, Системная плата сообщает нам, что в настоящее время существует 40 незарегистрированных уязвимостей безопасности, которые позволяют удаленно запускать и взламывать каждый телевизор, часы или телефон Samsung, которые используют Tizen как операционная система. Более серьезными являются утверждения о том, как и почему стоят многие из этих эксплойтов.
Возможно, это худший код, который я когда-либо видел.
Хотя Samsung, возможно, не думает о замене Android на Tizen на своих телефонах и планшетах, текущая экосистема готовится к широкому расширению: Samsung стремится использовать Tizen практически на каждом интеллектуальном устройстве, которое она продает. вперед. Умные холодильники кажутся отличной идеей, пока кто-то не взломает вашу электронную почту через них.
«Возможно, это худший код, который я когда-либо видел», - сказал Нейдерман Motherboard. Все, что ты там можешь сделать не так, они делают. Вы можете видеть, что никто с пониманием безопасности не смотрел на этот код и не писал его. Это все равно, что взять бакалавра и позволить ему программировать ваше программное обеспечение.
Любой крупный программный проект будет иметь свою долю ошибок и эксплойтов. Хотя некоторые из них более серьезны, чем другие, большинство исследователей смотрят на Tizen не так, как они сосредоточены на Android, iOS и Windows. Во многом это потому, что Samsung будет продавать больше Galaxy S8 телефонов через неделю, которые, вероятно, когда-либо будут продавать телефоны под управлением Tizen. Но это упускает из виду несколько успешных линейок продуктов Samsung, включая Умные часы Gear S3 что у многих из нас сейчас на запястье. Нейдерман продолжает серьезно относиться к команде разработчиков Samsung для Tizen.
[Нейдерман] говорит, что большая часть кодовой базы Tizen устарела и заимствована из предыдущих проектов Samsung по кодированию, включая Bada, предыдущую операционную систему для мобильных телефонов, выпуск которой Samsung прекратил.
Но большинство обнаруженных им уязвимостей на самом деле были в новом коде, написанном специально для Tizen в течение последних двух лет. Многие из них похожи на те ошибки, которые программисты совершали двадцать лет назад, указывая на то, что Samsung не хватает базовых методов разработки и проверки кода для предотвращения и выявления таких недостатков.
Это вызывает особую тревогу по нескольким причинам. Во-первых, код, который Samsung добавляет в Android, не имеет процесса экспертной оценки, поскольку это не так. открытый источник. Если Samsung, как утверждается, не хватает техник кодирования и проверки, то в его портфолио Android тоже может быть много ошибок. Даже если это не так, семейство часов Samsung Gear подключено к довольно большому количеству устройств Android. и делится большим количеством информации, которая может быть открыта для кого-то, у кого есть нужные инструменты и немного секрет производства.
Злоумышленник может установить любое понравившееся программное обеспечение через приложение TizenStore.
Даже токенизированные финансовые данные через Samsung Pay на каком-то уровне должны жить на ваших часах, даже если достаточно долго, чтобы передать их на платежный терминал или обратно в ваш банк. К счастью, это способ хранения делает его практически бесполезным без ключей для его расшифровки и ссылки на то, для чего предназначен токен.
Помимо всего этого, самая большая проблема - это проблема с магазином приложений и установщиком Tizen.
Одна дыра в безопасности, которую обнаружил Нейдерман, была особенно важной. Он включает в себя приложение TizenStore от Samsung - версию Google Play Store от Samsung - которое доставляет приложения и обновления программного обеспечения на устройства Tizen. Нейдерман говорит, что недостаток в его конструкции позволил ему захватить программное обеспечение, чтобы доставить вредоносный код на свой телевизор Samsung.
Это шоу-пробка. Приложение TizenStore работает с абсолютными системными привилегиями и может устанавливать и запускать все, что угодно, без дополнительных действий со стороны пользователя. Взлом этого процесса и использование его для установки инструментов для удаленного доступа и предоставления им системных привилегий означает, что злоумышленник может делать все, что угодно. Каждое устройство с доступом к TizenStore или другим способом установки приложений Tizen потенциально уязвимо, включая Семейство Samsung Gear.
Мы никому не советуем выбрасывать часы или телевизор. Мы связались с Samsung, который сообщает Motherboard, что работает с Neiderman, чтобы привести все в форму, и мы обновим, когда что-то услышим.
На данный момент проявляйте ту же осторожность, что и при работе с компьютером с Windows или при загрузке приложений Android неопубликованно, пока вы используете свои гаджеты на базе Tizen.
Вы слушали подкаст Android Central на этой неделе?
Каждую неделю Android Central Podcast знакомит вас с последними техническими новостями, аналитикой и горячими отзывами со знакомыми ведущими и специальными гостями.
- Подпишитесь в Pocket Casts: Аудио
- Подпишитесь в Spotify: Аудио
- Подпишитесь в iTunes: Аудио
Мы можем получать комиссию за покупки, используя наши ссылки. Учить больше.
Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.
Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.
Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.
Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.
Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.
Настройте свой Samsung Gear S3 с помощью нового ремешка для часов.
Samsung Gear S3 по-прежнему остается одним из наших любимых умных часов. Лучше всего то, что Samsung позволяет легко обновить ремешок до чего-то нового.