Az alaplap az Equus Software izraeli biztonsági kutatójával, Amihai Neidermannel beszélve azt mondja nekünk, hogy jelenleg 40 be nem jelentett biztonsági rés van jelen, amelyek lehetővé teszik minden olyan Samsung TV, óra vagy telefon távoli végrehajtását és feltörését, amelyek Tizenépet használják operációs rendszerként. Súlyosabbak néhány állítás azzal kapcsolatban, hogy ezeknek a kizsákmányolásoknak miért és hogyan miért.
Lehet, hogy ez a legrosszabb kód, amit valaha láttam.
Noha a Samsung nem gondolkodik azon, hogy telefonjain és táblagépein az Android helyébe a Tizen lép, a jelenlegi ökoszisztéma hamarosan nagymértékben kibővül: a Samsung elkötelezett amellett, hogy a Tizenest minden továbbiakban eladja az intelligens készülékein. Az intelligens hűtőszekrények nagyszerű ötletnek tűnnek, amíg valaki meg nem csapja az e-maileket az egyiken keresztül.
Lehet, hogy ez a legrosszabb kód, amit valaha láttam - mondta Neiderman az Alaplapnak. Minden, amit rosszul tehetünk, meg is teszik. Láthatjuk, hogy senki, aki nem érti a biztonságot, nem nézi meg ezt a kódot vagy nem írta azt. Ez olyan, mint egy egyetemi hallgató, és hagyta, hogy programozza a szoftvert.
Minden nagy szoftverprojektnek megvan a maga része a hibáknak és a kizsákmányolásnak. Míg egyesek komolyabbak, mint mások, a legtöbb kutató nem úgy néz ki a Tizenre, mint az Androidra, az iOS-re és a Windowsra. Ez nagyrészt azért van, mert a Samsung több Galaxy S8 telefont fog eladni egy héten belül, mint valószínűleg valaha a Tizen-t futtató telefonokat. De ez figyelmen kívül hagyja a Samsung számos sikeres termékcsaládját, beleértve a Gear S3 intelligens órát, amely sokunknak jelenleg a csuklóján van. A Neiderman komoly árnyalattal folytatja a Samsung fejlesztõi csapatát a Tizennel szemben.
szerint a Tizen kódbázis nagy része régi, és kölcsönöz a korábbi Samsung kódolóprojektjektől, beleértve a Bada-t, egy korábbi mobiltelefon-operációs rendszert, amelyet a Samsung megszüntett.
De a legtöbb sebezhetőséget valójában egy új, kifejezetten Tizennek írt kódban találták az elmúlt két évben. Közülük sok olyan hiba, amelyet a programozók húsz évvel ezelőtt elkövettek, jelezve, hogy a Samsungnak hiányzik az alapvető kódfejlesztési és áttekintési gyakorlat az ilyen hibák megelőzése és felderítése érdekében.
Ez különösen aggasztó több okból. Először is, a Samsung által az Androidhoz hozzáadott kódnak nincs szakértői értékelési folyamata, mivel nem nyílt forráskódú. Ha a Samsung állítása szerint hiányzik a kódolási és áttekintési technikákról, ugyanazok a hibák fordulhatnak elő Android-portfóliójában is. Még ha nem erről van szó, a Samsung Gear órák családja nagyon sok Android készülékhez csatlakozik, és rengeteg információt oszt meg, amelyek a megfelelő eszközökkel és egy kis know-how-val rendelkeznek.
A támadó a TizenStore alkalmazáson keresztül bármilyen szoftvert telepíthet, amelyre tetszik.
Még a Samsung Pay-n keresztül nyújtott zéró pénzügyi adatoknak is az óráján kell élniük, még akkor is, ha elég hosszúak ahhoz, hogy továbbítsák a fizetési terminálra vagy a bankhoz. Szerencsére az a tárolás, amely többnyire értéktelenné teszi a kulcsok visszafejlesztése nélkül, és utalás arra, hogy mi a token.
Mindezt eltekintve, a legnagyobb probléma a Tizen alkalmazás-áruház és a telepítő problémája.
Az egyik Neiderman által feltárt biztonsági lyuk különösen kritikus volt. Ez magában foglalja a Samsung TizenStore alkalmazását - a Samsung Google Play Store verzióját -, amely alkalmazásokat és szoftverfrissítéseket szállít a Tizen eszközökhöz. Neiderman szerint a tervezési hibája lehetővé tette, hogy eltérítse a szoftvert, hogy rosszindulatú kódot szállítson a Samsung TV-hez.
Ez egy show stopper. A TizenStore alkalmazás abszolút rendszerjogosultságokkal fut, és bármit telepíthet és futtathat, anélkül, hogy a felhasználó másodlagos bemenete lenne. Ennek a folyamatnak az eltérítése és a távoli eléréshez szükséges eszközök telepítése, valamint a rendszerjogosultságok megadása azt jelenti, hogy a támadó szinte bármit megtehet. Minden olyan eszköz, amely hozzáféréssel rendelkezik a TizenStore-hoz vagy más módon telepíti a Tizen-alkalmazásokat, potenciálisan sérülékeny lehet, ideértve a Samsung Gear családot.
Nem tanácsoljuk senkinek, hogy dobja ki óráját vagy televízióját. Megkeresettük a Samsungot, amely azt mondja az Alaplapnak, hogy együttműködik a Neiderman-rel mindent a formájának elérése érdekében, és frissítjük, amikor meghallunk valamit.
Jelenleg ugyanolyan óvatossággal járjon el, mint egy Windows számítógépen, vagy amikor az Android-alkalmazásokat oldalra tölti, miközben Tizen-alapú eszközöket használ.
