Nakikipag-usap sa tagapagsaliksik ng seguridad ng Israel na si Amihai Neiderman ng Equus Software, sinabi sa amin ng Motherboard na mayroong 40 na hindi napapansin na kahinaan sa seguridad na magpapahintulot sa malayong pagpapatupad at pag-hack ng bawat Samsung TV, panonood o telepono na gumagamit ng Tizen bilang operating system. Ang mas seryoso ay ang ilang mga paratang tungkol sa kung paano at kung bakit sa likod ng marami sa mga pagsasamantala.
Ito ay maaaring ang pinakamasama code na nakita ko.
Habang ang Samsung ay maaaring hindi nag-iisip tungkol sa pagpapalit ng Android sa Tizen sa mga telepono at tablet nito, ang kasalukuyang ecosystem ay malapit nang mapalawak sa isang malaking paraan: Ang Samsung ay nakatuon sa paggamit ng Tizen sa karamihan sa bawat matalinong kasangkapan na ipinagbibili ng pasulong. Ang mga tunog ng Smart refrigerator ay parang isang mahusay na ideya hanggang sa may isang taong nag-hack sa iyong email sa pamamagitan ng isa.
Ito ay maaaring ang pinakamasama code na nakita ko, sinabi ni Neiderman sa Motherboard. Lahat ng maaari mong gawin mali doon, ginagawa nila ito. Maaari mong makita na walang sinuman na may anumang pag-unawa sa seguridad ay tumingin sa code na ito o isinulat ito. Ito ay tulad ng pagkuha ng isang undergraduate at pagpapaalam sa kanya na programa ang iyong software.
Ang anumang malaking proyekto ng software ay magkakaroon ng makatarungang bahagi ng mga bug at pagsasamantala. Habang ang ilan ay mas seryoso kaysa sa iba, karamihan sa mga mananaliksik ay hindi tumitingin sa Tizen sa parehong paraan na nakatuon sila sa Android, iOS, at Windows. Iyon ay higit sa lahat dahil ang Samsung ay magbebenta ng higit pang mga teleponong Galaxy S8 sa isang linggo na malamang na magbebenta ito ng mga telepono na tumatakbo sa Tizen. Ngunit hindi napapansin nito ang ilan sa mga matagumpay na linya ng produkto ng Samsung kasama ang Gear S3 smartwatch na marami sa atin ay nasa aming pulso. Nagpapatuloy si Neiderman sa ilang malubhang lilim patungo sa pangkat ng pag-unlad ng Samsung para kay Tizen.
sabi ng karamihan sa base ng Tizen code ay luma at hiniram mula sa mga naunang proyekto sa pag-coding ng Samsung, kabilang ang Bada, isang naunang operating system ng mobile phone na ipinagpaliban ng Samsung.
Ngunit ang karamihan sa mga kahinaan na natagpuan niya ay talagang nasa bagong code na partikular na isinulat para kay Tizen sa loob ng huling dalawang taon. Marami sa kanila ang uri ng mga pagkakamali na ginagawa ng mga programmer ng dalawampung taon na ang nakalilipas, na nagpapahiwatig na ang Samsung ay walang pangunahing pag-unlad ng code at pagsusuri sa mga kasanayan upang maiwasan at mahuli ang gayong mga bahid.
Lalo na itong nakakabahala sa maraming kadahilanan. Una, ang code na Samsung ay nagdaragdag sa Android ay walang proseso ng pagsusuri ng peer dahil hindi ito bukas na mapagkukunan. Kung ang Samsung, tulad ng inaangkin, ay kulang pagdating sa pag-cod at pagsusuri ng mga diskarte, ang parehong mga pagkakamali ay maaaring sagana sa portfolio ng Android nito. Kahit na hindi ito ang kaso, ang pamilyang relo ng Samsung Gear ay konektado sa kaunting ilang mga aparato sa Android at nagbabahagi ng maraming impormasyon na maaaring buksan sa isang tao na may tamang mga tool at kaunting alam.
Maaaring mag-install ng isang atake ang anumang software na gusto nila sa pamamagitan ng aplikasyon ng TizenStore.
Kahit na ang mga tokenized data sa pananalapi sa pamamagitan ng Samsung Pay ay dapat mabuhay sa iyong relo sa ilang antas, kahit na sapat lamang ang haba upang maipadala sa isang terminal ng pagbabayad o bumalik sa iyong bangko. Sa kabutihang palad, ito ay naka-imbak ay isang paraan na ginagawa itong halos walang halaga na walang mga susi upang i-decrypt ito at isang sanggunian sa kung ano ang token.
Ang lahat ng ito bukod, ang pinakamalaking isyu ay isang problema sa Tizen application store at installer.
Ang isang butas sa seguridad na walang takip na Neidman ay partikular na kritikal. Ito ay nagsasangkot ng TizenStore app ng Samsung - bersyon ng Google Play Store ng Samsung - na naghahatid ng mga pag-update ng apps at software sa mga aparato ng Tizen. Sinabi ni Neiderman ng isang kapintasan sa disenyo nito na pinahihintulutan siyang mai-hijack ang software upang maihatid ang nakakahamak na code sa kanyang Samsung TV.
Ito ay isang palabas sa palabas. Ang TizenStore app ay tumatakbo na may ganap na mga pribilehiyo ng system at maaaring mai-install at patakbuhin ang anumang bagay na walang pangalawang input mula sa gumagamit. Ang pag-Hijack sa prosesong ito at paggamit nito upang mai-install ang mga tool para sa malayuang pag-access at bigyan sila ng mga pribilehiyo sa system ay nangangahulugang ang isang magsasalakay ay maaaring gawin lamang sa anumang gusto nila. Ang bawat aparato na may pag-access sa TizenStore o ibang paraan upang mai-install ang mga aplikasyon ng Tizen ay potensyal na masugatan, kabilang ang pamilya Samsung Gear.
Hindi namin pinapayuhan ang sinoman na itapon ang kanilang relo o telebisyon. Inabot namin ang Samsung, na nagsasabi sa Motherboard na nakikipagtulungan ito sa Neiderman upang makuha ang lahat, at mai-update namin kapag may naririnig kami.
Sa ngayon, gamitin ang parehong pag-iingat na gagawin mo sa isang Windows computer o kapag na-sideloading ang mga application ng Android habang ginagamit mo ang iyong mga gadget na may lakas na Tizen.
