U razgovoru s izraelskim istraživačem sigurnosti Amihai Neiderman iz tvrtke Equus Software, Matična ploča nam govori kako trenutno postoji 40 neprijavljenih sigurnosnih ranjivosti koje bi omogućile daljinsko izvršavanje i hakiranje svakog Samsung TV-a, sata ili telefona koji Tizen koristi kao operativni sustav. Ozbiljniji su neki navodi o tome kako i zašto stoje iza mnogih od ovih podviga.
To je možda najgori kôd koji sam ikad vidio.
Iako Samsung možda ne razmišlja o zamjeni Androida s Tizenom na svojim telefonima i tabletima, trenutačni će se ekosustav uskoro proširiti na veliko: Samsung se zalaže za korištenje Tizen-a na većini svakog pametnog uređaja koji prodaje u budućnosti. Pametni hladnjaci zvuče kao sjajna ideja dok netko ne hakira vašu e-poštu putem jednog.
To je možda najgori kôd koji sam ikad vidio, kaže Neiderman za Motherboard. Sve što tamo možete učiniti, oni to i učine. Možete vidjeti da nitko sa razumijevanjem sigurnosti nije pogledao ovaj kôd niti ga napisao. To je poput pohađanja dodiplomskog studija i puštanja ga da programira vaš softver.
Svaki veliki softverski projekt imat će pravičan udio grešaka i podviga. Iako su neki ozbiljniji od ostalih, većina istraživača na Tizen ne gleda onako kako su usredotočeni na Android, iOS i Windows. To je uglavnom zato što će Samsung prodati više Galaxy S8 telefona u tjedan dana, što će vjerojatno ikada prodavati telefone s Tizenom. No to previdi nekoliko Samsungovih uspješnih linija proizvoda, uključujući pametni sat Gear S3 koji mnogi od nas trenutno imaju na zglobu. Neiderman nastavlja s ozbiljnom sjenom prema Samsungovom razvojnom timu za Tizen.
kaže da je većina baza podataka kod Tizen stara i posuđuje se od prijašnjih Samsungovih projekata kodiranja, uključujući Bada, prethodni operativni sustav mobilnih telefona koji je Samsung ukinuo.
No, većina ranjivosti koje je pronašao bile su zapravo u novom kodu napisanom posebno za Tizen u posljednje dvije godine. Mnoge su vrste grešaka koje su programeri radili prije dvadeset godina, što ukazuje na to da Samsungu nedostaje osnovna praksa razvoja koda i preispitivanje takvih nedostataka.
To je posebno zabrinjavajuće iz nekoliko razloga. Prvo, kôd koji Samsung dodaje Androidu nema postupak recenziranja jer nije open source. Ako Samsungu, kako se tvrdi, nedostaje kada je u pitanju tehnika kodiranja i pregledavanja, iste bi pogreške mogle biti i u njegovom Android portfelju. Čak i ako to nije slučaj, obitelj satova Samsung Gear povezana je s nekoliko Android uređaja i dijeli puno informacija koje bi nekome mogli otvoriti pravi alati i malo znanja.
Napadač može instalirati bilo koji softver koji im se sviđa putem TizenStore aplikacije.
Čak i tokenizirani financijski podaci putem Samsunga Paya moraju se zadržati na vašem satu na nekoj razini, čak i samo dovoljno dugo da se mogu poslati na platni terminal ili natrag u svoju banku. Srećom, pohranjen je način na koji je uglavnom beskorisno bez ključeva za dešifriranje i referencu na to što je token.
Sve ovo na stranu, najveći problem je problem sa trgovinom i instalatorom aplikacija Tizen.
Jedna sigurnosna rupa koju je Neiderman otkrio bila je posebno kritična. Uključuje Samsung-ovu aplikaciju TizenStore - Samsungovu verziju Google Play Store-a, koja isporučuje ažuriranja aplikacija i softvera na Tizen uređaje. Neiderman kaže da mu je nedostatak dizajna omogućio otmicu softvera kako bi na njegov Samsung TV isporučio zlonamjerni kod.
Ovo je show čep. Aplikacija TizenStore radi s apsolutnim sistemskim privilegijama i može instalirati i pokrenuti bilo što bez sekundarnog unosa od strane korisnika. Otmica ovog procesa i njegovo korištenje za instaliranje alata za udaljeni pristup i dodjeljivanje sistemskih privilegija znači da napadač može raditi gotovo sve što želi. Svaki uređaj s pristupom TizenStore ili nekom drugom načinu instaliranja Tizen aplikacija potencijalno je ranjiv, uključujući i Samsung Gear obitelj.
Ne savjetujemo nikome da izbaci svoj sat ili televiziju. Kontaktirali smo Samsung, koji matičnoj ploči govori da surađuje s Neidermanom kako bi sve bio u formi, a mi ćemo se ažurirati kad nešto čujemo.
Za sada budite isti oprez kao i kod računala sa sustavom Windows ili prilikom preuzimanja bočnih aplikacija za Android dok koristite uređaje s Tizenom.
