V rozhovore s izraelským bezpečnostným výskumníkom Amihai Neidermanom zo spoločnosti Equus Software nám základná doska hovorí, že v súčasnosti existuje 40 neohlásených bezpečnostných zraniteľností, ktoré by umožňovali vzdialené vykonávanie a hackovanie všetkých televízorov Samsung, hodiniek alebo telefónov, ktoré používajú Tizen ako operačný systém. Závažnejšie sú niektoré obvinenia o tom, ako a prečo mnohé z týchto zneužívaní.
Môže to byť najhorší kód, aký som kedy videl.
Zatiaľ čo spoločnosť Samsung nemusí premýšľať o nahradení systému Android za Tizen na svojich telefónoch a tabletoch, súčasný ekosystém sa chystá výrazne rozšíriť: Spoločnosť Samsung sa zaväzuje používať Tizen na väčšine inteligentných zariadení, ktoré predáva ďalej. Inteligentné chladničky znejú ako skvelý nápad, až kým niekto neprelomí váš e-mail prostredníctvom jedného.
Môže to byť najhorší kód, aký som kedy videl, Neiderman hovorí základnej doske. Tam všetko, čo môžete urobiť zle, robia to. Môžete vidieť, že nikto s akýmkoľvek chápaním bezpečnosti sa na tento kód nepozrel alebo ho nenapísal. Je to ako vziať vysokoškoláka a nechať ho naprogramovať softvér.
Akýkoľvek veľký softvérový projekt bude mať spravodlivý podiel na chybách a využitiach. Zatiaľ čo niektoré sú závažnejšie ako iné, väčšina vedcov sa na Tizen nepozerá rovnako ako na Android, iOS a Windows. Je to najmä preto, že spoločnosť Samsung predá za týždeň viac telefónov Galaxy S8, že pravdepodobne predá telefóny s Tizen. To však prehliada niekoľko úspešných produktových radov Samsung vrátane inteligentných hodiniek Gear S3, ktoré majú mnohí z nás práve teraz na zápästí. Neiderman pokračuje s určitým odtieňom smerom k vývojovému tímu spoločnosti Samsung pre Tizen.
hovorí, že veľká časť základne kódu Tizen je stará a požičiava si z predchádzajúcich projektov kódovania Samsung vrátane Bada, predchádzajúceho operačného systému pre mobilné telefóny, ktorý spoločnosť Samsung prerušila.
Väčšina zraniteľností, ktoré našiel, však bola v skutočnosti v novom kóde napísanom špeciálne pre Tizen v posledných dvoch rokoch. Mnohé z nich sú typom chýb, ktoré programátori urobili pred dvadsiatimi rokmi, čo naznačuje, že spoločnosti Samsung chýbajú postupy na vývoj základného kódu a postupy kontroly, ktoré by takýmto nedostatkom zabránili a zachytili ich.
To je obzvlášť znepokojujúce z niekoľkých dôvodov. Po prvé, kód, ktorý spoločnosť Samsung pridáva do systému Android, nemá proces vzájomného preskúmania, pretože nejde o otvorený zdroj. Ak spoločnosť Samsung, ako sa tvrdí, chýba, pokiaľ ide o techniky kódovania a kontroly, vo svojom portfóliu pre systém Android by sa mohli vyskytnúť rovnaké druhy chýb. Aj keď to tak nie je, rodina hodiniek Samsung Gear je pripojená k niekoľkým zariadeniam s Androidom a zdieľa množstvo informácií, ktoré by mohli byť sprístupnené niekomu so správnymi nástrojmi a trochou know-how.
Útočník môže nainštalovať akýkoľvek softvér, ktorý sa im páči, prostredníctvom aplikácie TizenStore.
Aj tokenizované finančné údaje prostredníctvom služby Samsung Pay musia na určitej úrovni žiť na vašich hodinkách, aj keď iba dosť dlho na to, aby sa preniesli na platobný terminál alebo späť do vašej banky. Našťastie je uložené, je to spôsob, vďaka ktorému je väčšinou zbytočné bez kľúčov ho dešifrovať a odkaz na to, na čo je token určený.
To všetko okrem toho najväčším problémom je problém s úložiskom a inštalátorom aplikácií Tizen.
Jedna odkrytá bezpečnostná diera, ktorú Neiderman odhalil, bola mimoriadne kritická. Zahŕňa aplikáciu spoločnosti Samsung TizenStore - verziu obchodu Google Play od spoločnosti Samsung -, ktorá poskytuje aktualizácie aplikácií a softvéru zariadeniam Tizen. Neiderman tvrdí, že chyba v jeho konštrukcii mu umožnila uniesť softvér, ktorý mu dodal škodlivý kód do televízora Samsung.
Toto je prehliadka. Aplikácia TizenStore beží s absolútnymi systémovými privilégiami a môže inštalovať a spúšťať čokoľvek bez sekundárneho vstupu od používateľa. Zneužitie tohto procesu a jeho použitie na inštaláciu nástrojov na vzdialený prístup a udelenie systémových privilégií znamená, že útočník môže urobiť čokoľvek, čo sa mu páči. Každé zariadenie s prístupom k TizenStore alebo iným spôsobom inštalácie aplikácií Tizen je potenciálne zraniteľné vrátane rodiny Samsung Gear.
Neodporúčame nikomu, aby vyhodil hodinky alebo televíziu. Obrátili sme sa na spoločnosť Samsung, ktorá hovorí základnej doske, že spolupracuje s Neidermanom na vytvorení všetkého obsahu, a keď niečo počujeme, aktualizujeme sa.
Pri používaní modulov gadget s napájaním Tizen zatiaľ buďte opatrní ako pri počítači so systémom Windows alebo pri zavádzaní aplikácií pre Android.
