İsrailli güvenlik araştırmacısı ile konuşmak Amihai Neiderman nın-nin Equus Yazılımı, Anakart bize şu anda kullanan her Samsung TV, saat veya telefonun uzaktan yürütülmesine ve hacklenmesine izin verebilecek 40 bildirilmemiş güvenlik açığı olduğunu söyler Tizen işletim sistemi olarak. Daha ciddi iddialar, bu istismarların çoğunun arkasında nasıl ve neden olduğuna dair bazı iddialardır.
Şimdiye kadar gördüğüm en kötü kod olabilir.
Samsung, telefonlarında ve tabletlerinde Android'i Tizen ile değiştirmeyi düşünmüyor olsa da, mevcut ekosistem büyük bir şekilde genişletilmek üzere: Samsung, sattığı her akıllı cihazda Tizen'i kullanmaya kararlı. ileri. Akıllı buzdolapları, birisi e-postanızı bir tanesinden ele geçirene kadar harika bir fikir gibi görünür.
Neiderman, Motherboard'a bu gördüğüm en kötü kod olabileceğini söylüyor. Orada yanlış yapabileceğiniz her şeyi yapıyorlar. Gördüğünüz gibi, herhangi bir güvenlik bilgisi olan kimse bu koda bakmadı veya onu yazmadı. Tıpkı bir lisans öğrencisi alıp yazılımınızı programlamasına izin vermek gibi.
Herhangi bir büyük yazılım projesi, hatalardan ve istismardan adil pay alacaktır. Bazıları diğerlerinden daha ciddi olsa da, çoğu araştırmacı Tizen'e Android, iOS ve Windows'a odaklandıkları şekilde bakmıyor. Bunun nedeni büyük ölçüde Samsung'un daha fazla satış yapacağı Galaxy S8 bir hafta içinde muhtemelen Tizen çalıştıran telefonları satacak. Ancak bu, Samsung'un birçok başarılı ürün serisini gözden kaçırıyor. Gear S3 akıllı saat şu anda çoğumuz bileğimizde var. Neiderman, Samsung'un Tizen geliştirme ekibine ciddi bir gölge düşürerek devam ediyor.
[Neiderman], Tizen kod tabanının çoğunun eski olduğunu ve Samsung'un durdurduğu önceki bir cep telefonu işletim sistemi olan Bada da dahil olmak üzere önceki Samsung kodlama projelerinden ödünç aldığını söylüyor.
Ancak bulduğu güvenlik açıklarının çoğu aslında son iki yıl içinde Tizen için özel olarak yazılmış yeni koddaydı. Bunların çoğu, programcıların yirmi yıl önce yaptığı türden hatalar, Samsung'un bu tür kusurları önlemek ve yakalamak için temel kod geliştirme ve inceleme uygulamalarına sahip olmadığını gösteriyor.
Bu, birkaç nedenden dolayı özellikle endişe vericidir. İlk olarak, Samsung'un Android'e eklediği kodun, olmadığı için herhangi bir eş inceleme süreci yoktur. açık kaynak. Samsung, iddia edildiği gibi, kodlama ve inceleme teknikleri söz konusu olduğunda eksikse, aynı tür hatalar Android portföyünde de bol miktarda olabilir. Durum böyle olmasa bile, Samsung Gear saat ailesi pek çok Android cihaza bağlı. ve doğru araçlara sahip birine açık olabilecek pek çok bilgiyi ve biraz da nasil OLDUĞUNU biliyorum.
Bir saldırgan, TizenStore uygulaması aracılığıyla istediği herhangi bir yazılımı yükleyebilir.
Hatta tokenize edilmiş finansal veriler Samsung Pay bir ödeme terminaline veya bankanıza geri göndermeye yetecek kadar uzun olsa bile, bir seviyede saatinizde yaşamak zorundadır. Neyse ki, şifresini çözmek için anahtarlar olmadan ve belirtecin ne için olduğuna dair bir referans olmadan onu çoğunlukla değersiz kılan bir yoldur.
Bütün bunlar bir yana, en büyük sorun Tizen uygulama mağazası ve yükleyicisiyle ilgili bir sorundur.
Neiderman'ın ortaya çıkardığı bir güvenlik açığı özellikle kritikti. Tizen cihazlarına uygulama ve yazılım güncellemeleri sağlayan Samsung'un Google Play Store sürümü olan TizenStore uygulamasını içerir. Neiderman, tasarımındaki bir kusurun, Samsung TV'sine kötü amaçlı kod göndermek için yazılımı ele geçirmesine izin verdiğini söylüyor.
Bu bir gösteri durdurucu. TizenStore uygulaması, mutlak sistem ayrıcalıklarıyla çalışır ve kullanıcıdan ikincil giriş olmaksızın herhangi bir şeyi yükleyebilir ve çalıştırabilir. Bu işlemi kaçırmak ve onu uzaktan erişim için araçlar yüklemek ve onlara sistem ayrıcalıkları vermek için kullanmak, bir saldırganın istediği her şeyi yapabileceği anlamına gelir. TizenStore'a veya Tizen uygulamalarını kurmanın başka bir yoluna erişimi olan her cihaz, potansiyel olarak savunmasızdır. Samsung Gear ailesi.
Kimsenin saatini veya televizyonunu atmasını tavsiye etmiyoruz. Samsung'a ulaştık ve Anakart'a, Neiderman ile her şeyi şekle sokmak için çalıştığını ve bir şey duyduğumuzda güncelleme yapacağımızı söyler.
Şimdilik, bir Windows bilgisayarında veya Tizen destekli aygıtlarınızı kullanırken Android uygulamalarını yan yüklerken yaptığınız aynı dikkatli olun.
Bu haftanın Android Central Podcast'ini dinlediniz mi?
Her hafta, Android Central Podcast size en son teknoloji haberlerini, analizleri ve önemli konuları tanıdık yardımcı sunucular ve özel konuklarla birlikte getiriyor.
- Cep Yayınlarında Abone Ol: Ses
- Spotify'da abone ol: Ses
- İTunes'da abone ol: Ses
Bağlantılarımızı kullanarak satın alımlardan komisyon kazanabiliriz. Daha fazla bilgi edin.
Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!
En iyi kablosuz kulaklıklar rahattır, harika ses çıkarır, çok pahalı değildir ve cebe kolayca sığar.
PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası.
Sony, PlayStation 5 üzerinde çalıştığını resmen onayladı. Şimdiye kadar bildiğimiz her şey burada.
Nokia, 200 doların altında iki yeni bütçeye sahip Android One telefonunu piyasaya sürdü.
Nokia 2.4 ve Nokia 3.4, HMD Global'in bütçeye uygun akıllı telefon serisinin en son üyeleridir. Her ikisi de Android One cihazı olduklarından, üç yıla kadar iki büyük işletim sistemi güncellemesi ve düzenli güvenlik güncellemeleri almaları garanti edilir.
Samsung Gear S3'ünüzü yeni bir saat bandıyla özelleştirin.
Samsung Gear S3 hala en sevdiğimiz akıllı saatlerimizden biri. Hepsinden iyisi, Samsung, grubu yeni bir şeye yükseltmeyi kolaylaştırır.