Hovoríme s izraelským bezpečnostným výskumníkom Amihai Neiderman z Softvér Equus, Základná doska nám hovorí, že v súčasnosti existuje 40 neohlásených bezpečnostných chýb, ktoré by umožňovali vzdialené spustenie a hacking všetkých televízorov, hodiniek alebo telefónov Samsung, ktoré používajú Tizen ako operačný systém. Závažnejšie sú niektoré obvinenia o tom, ako a prečo za mnohými z týchto zneužitia.
Môže to byť najhorší kód, aký som kedy videl.
Aj keď Samsung možno neuvažuje nad nahradením systému Android Tizenom na svojich telefónoch a tabletoch, súčasný ekosystém je sa chystá vo veľkom rozšíriť: Spoločnosť Samsung sa zaviazala používať Tizen na väčšine svojich inteligentných zariadení, ktoré predáva dopredu. Inteligentné chladničky znejú ako skvelý nápad, kým niekto prostredníctvom jednej hackne váš e-mail.
Môže to byť najhorší kód, aký som kedy videl, hovorí Neiderman pre Motherboard. Všetko, čo tam môžete urobiť, urobí zle. Vidíte, že nikto, kto by chápal bezpečnosť, sa na tento kód nepozrel ani ho nenapísal. Je to ako vziať vysokoškoláka a nechať ho naprogramovať váš softvér.
Každý veľký softvérový projekt bude mať spravodlivý podiel na chybách a zneužitiach. Aj keď sú niektoré vážnejšie ako iné, väčšina vedcov sa na Tizen nepozerá rovnako ako na Android, iOS a Windows. Je to predovšetkým preto, že Samsung bude predávať viac Galaxy S8 telefónov za týždeň, v ktorom pravdepodobne predá telefóny so systémom Tizen. To však prehliada niekoľko úspešných produktových radov spoločnosti Samsung vrátane Inteligentné hodinky Gear S3 ktoré mnohí máme práve teraz na zápästí. Neiderman pokračuje v serióznom zafarbení smerom k vývojovému tímu spoločnosti Samsung pre Tizen.
[Neiderman] hovorí, že veľká časť kódovej základne Tizen je stará a požičiava si z predchádzajúcich kódovacích projektov spoločnosti Samsung, vrátane Bada, predchádzajúceho operačného systému pre mobilné telefóny, ktorý spoločnosť Samsung ukončila.
Väčšina zraniteľností, ktoré našiel, sa však v skutočnosti nachádzala v novom kóde napísanom špeciálne pre Tizen za posledné dva roky. Mnoho z nich predstavuje chyby, ktoré programátori robili pred dvadsiatimi rokmi, čo naznačuje, že spoločnosti Samsung chýbajú základné postupy pri vývoji a kontrole kódu, aby sa takýmto chybám predišlo a zachytilo ich.
To je obzvlášť znepokojujúce z niekoľkých dôvodov. Po prvé, kód, ktorý spoločnosť Samsung pridáva do systému Android, nemá žiadny proces vzájomného hodnotenia, pretože nie je otvorený zdroj. Ak spoločnosť Samsung, ako tvrdí, chýba, pokiaľ ide o techniky kódovania a kontroly, rovnakého druhu chýb by mohlo byť veľa aj v jej portfóliu Androidu. Aj keď to tak nie je, rodina hodiniek Samsung Gear je pripojená k niekoľkým zariadeniam so systémom Android a zdieľa veľa informácií, ktoré by mohli byť prístupné niekomu so správnymi nástrojmi a troškou know-how.
Útočník si môže prostredníctvom aplikácie TizenStore nainštalovať akýkoľvek softvér, ktorý sa mu páči.
Dokonca aj tokenizované finančné údaje Samsung Pay musí na nejakej úrovni žiť vo svojich hodinkách, aj keď len tak dlho, aby ich bolo možné odoslať do platobného terminálu alebo späť do vašej banky. Našťastie je uložený spôsob, ktorý ho robí väčšinou bezcenným bez kľúčov na jeho dešifrovanie a odkazu na to, na čo slúži token.
Okrem toho je najväčším problémom problém s obchodom a inštalátorom aplikácií Tizen.
Jedna bezpečnostná diera, ktorú Neiderman odhalil, bola obzvlášť kritická. Zahŕňa aplikáciu Samsung TizenStore - verziu obchodu Google Play spoločnosti Samsung - ktorá dodáva aplikácie a aktualizácie softvéru pre zariadenia Tizen. Neiderman tvrdí, že chyba v jeho dizajne mu umožnila uniesť softvér na dodanie škodlivého kódu do jeho televízora Samsung.
Toto je stopér show. Aplikácia TizenStore beží s absolútnymi systémovými oprávneniami a môže inštalovať a spúšťať čokoľvek bez sekundárneho vstupu používateľa. Únos tohto procesu a jeho použitie na inštaláciu nástrojov na vzdialený prístup a udelenie systémových oprávnení znamená, že útočník môže robiť čokoľvek, čo sa mu páči. Každé zariadenie s prístupom do TizenStore alebo iným spôsobom na inštaláciu aplikácií Tizen je potenciálne zraniteľné, vrátane Rodina Samsung Gear.
Nikomu neodporúčame vyhadzovať hodinky alebo televíziu. Oslovili sme spoločnosť Samsung, ktorá oznámi základnej doske, že spolupracuje s Neidermanom na dosiahnutí všetkého v kondícii, a keď niečo začujeme, budeme aktualizovať.
Zatiaľ buďte opatrní, ako by ste postupovali pri počítači so systémom Windows alebo pri bočnom načítaní aplikácií pre Android, keď používate svoje miniaplikácie napájané Tizen.
Počúvali ste tento týždeň Android Central Podcast?
Každý týždeň vám Android Central Podcast prináša najnovšie technologické správy, analýzy a zaujímavé novinky so známymi spolupracovníkmi a špeciálnymi hosťami.
- Prihlásiť sa na odber vo vrecku: Zvuk
- Prihlásiť sa na odber v Spotify: Zvuk
- Prihlásiť sa na odber v iTunes: Zvuk
Za nákupy môžeme získať províziu pomocou našich odkazov. Uč sa viac.
Toto sú najlepšie bezdrôtové slúchadlá do uší, ktoré si môžete kúpiť za každú cenu!
Najlepšie bezdrôtové slúchadlá do uší sú pohodlné, vynikajúco znejú, nestoja príliš veľa a ľahko sa zmestia do vrecka.
Všetko, čo potrebujete vedieť o PS5: Dátum vydania, cena a ďalšie.
Spoločnosť Sony oficiálne potvrdila, že pracuje na PlayStation 5. Tu je všetko, čo o nej zatiaľ vieme.
Spoločnosť Nokia predstavuje dva nové lacné telefóny Android One s cenou do 200 dolárov.
Nokia 2.4 a Nokia 3.4 sú najnovším prírastkom do cenovej ponuky inteligentných telefónov spoločnosti HMD Global. Pretože sú to obe zariadenia Android One, je zaručené, že budú dostávať dve hlavné aktualizácie operačného systému a pravidelné bezpečnostné aktualizácie až na tri roky.
Prispôsobte si svoj Samsung Gear S3 pomocou nového náramku.
Samsung Gear S3 stále patria medzi naše obľúbené inteligentné hodinky. Najlepšie zo všetkého je, že spoločnosť Samsung uľahčuje modernizáciu pásma na niečo nové.