In gesprek met de Israëlische beveiligingsonderzoeker Amihai Neiderman van Equus Software, vertelt Motherboard ons dat er momenteel 40 niet-gerapporteerde beveiligingsproblemen zijn die uitvoering en hacking op afstand mogelijk maken van elke Samsung-tv, horloge of telefoon die Tizen als besturingssysteem gebruikt. Ernstiger zijn enkele beschuldigingen over het hoe en waarom achter veel van deze exploits.
Het is misschien de slechtste code die ik ooit heb gezien.
Hoewel Samsung misschien niet overweegt om Android te vervangen door Tizen op zijn telefoons en tablets, staat het huidige ecosysteem op het punt om enorm te worden uitgebreid: Samsung streeft ernaar Tizen te gebruiken op vrijwel elk smartapparaat dat het in de toekomst verkoopt. Slimme koelkasten klinken als een geweldig idee totdat iemand je e-mail via een ervan hackt.
Het is misschien de slechtste code die ik ooit heb gezien, vertelt Neiderman tegen Motherboard. Alles wat je daar fout kunt doen, doen ze. Je kunt zien dat niemand met enig begrip van beveiliging naar deze code heeft gekeken of deze heeft geschreven. Het is alsof je een student neemt en hem je software laat programmeren.
Elk groot softwareproject zal een behoorlijk aantal bugs en exploits hebben. Hoewel sommige ernstiger zijn dan andere, kijken de meeste onderzoekers niet naar Tizen op dezelfde manier als ze zijn gericht op Android, iOS en Windows. Dat komt grotendeels omdat Samsung in een week meer Galaxy S8-telefoons zal verkopen die het waarschijnlijk ooit telefoons met Tizen zal verkopen. Maar dat ziet verschillende succesvolle productlijnen van Samsung over het hoofd, waaronder de Gear S3 smartwatch die velen van ons nu om onze pols hebben. Neiderman gaat met enige serieuze schaduw door naar het ontwikkelingsteam van Samsung voor Tizen.
zegt dat veel van de Tizen-codebasis oud is en leent van eerdere Samsung-coderingsprojecten, waaronder Bada, een eerder besturingssysteem voor mobiele telefoons dat Samsung stopte.
Maar de meeste kwetsbaarheden die hij vond, zaten eigenlijk in nieuwe code die de afgelopen twee jaar speciaal voor Tizen was geschreven. Velen van hen zijn het soort fouten dat programmeurs twintig jaar geleden maakten, wat aangeeft dat Samsung geen basiscode-ontwikkeling en beoordelingspraktijken heeft om dergelijke fouten te voorkomen en op te lossen.
Dit is met name om verschillende redenen zorgwekkend. Ten eerste heeft de code die Samsung toevoegt aan Android geen peer review-proces omdat het geen open source is. Als Samsung, zoals beweerd, ontbreekt als het gaat om codering en beoordelingstechnieken, kunnen dezelfde soorten fouten ook overvloedig aanwezig zijn in zijn Android-portfolio. Zelfs als dit niet het geval is, is de Samsung Gear-familie van horloges verbonden met een flink aantal Android-apparaten en deelt deze veel informatie die toegankelijk zou kunnen zijn voor iemand met de juiste tools en een beetje knowhow.
Een aanvaller kan elke gewenste software installeren via de TizenStore-applicatie.
Zelfs tokenized financiële gegevens via Samsung Pay moeten op een bepaald niveau op uw horloge leven, zelfs al is het maar lang genoeg om te verzenden naar een betaalterminal of terug naar uw bank. Gelukkig is het opgeslagen op een manier die het meestal waardeloos maakt zonder de sleutels om het te decoderen en een verwijzing naar waar het token voor is.
Afgezien hiervan is het grootste probleem een probleem met de Tizen-applicatiewinkel en het installatieprogramma.
Eén beveiligingsgat dat Neiderman ontdekte, was bijzonder kritisch. Het betreft de TizenStore-app van Samsung - de versie van Samsung van Google Play Store - die apps en software-updates levert op Tizen-apparaten. Neiderman zegt dat een ontwerpfout hem in staat heeft gesteld de software te kapen om kwaadaardige code op zijn Samsung-tv te bezorgen.
Dit is een showstopper. De TizenStore-app werkt met absolute systeemrechten en kan alles installeren en uitvoeren zonder secundaire invoer van de gebruiker. Door dit proces te kapen en het te gebruiken om hulpmiddelen voor externe toegang te installeren en ze systeemrechten te geven, kan een aanvaller zo ongeveer alles doen wat hij maar wil. Elk apparaat met toegang tot de TizenStore of een andere manier om Tizen-applicaties te installeren is potentieel kwetsbaar, inclusief de Samsung Gear-familie.
We adviseren niemand om zijn horloge of televisie weg te gooien. We hebben contact opgenomen met Samsung, die Moederbord vertelt dat het met Neiderman werkt om alles in vorm te krijgen, en we zullen updaten wanneer we iets horen.
Wees voorlopig net zo voorzichtig als bij een Windows-computer of bij het sideloaden van Android-applicaties terwijl u uw door Tizen aangedreven gadgets gebruikt.
