Der er mere end tre dusin hidtil ukendt fejl, der udgør en potentiel trussel til forbrugere ved hjælp af nogle Samsung Tv, ure og telefoner, en sikkerhedsekspert, rapporterede mandag.
Hackere kan udnytte de sårbarheder, der findes i Samsungs Tizen-operativsystemet til at få ekstern adgang til og kontrol af en række af virksomhedens produkter, Amihai Neiderman, leder af forskning på Equus Software, fortalte Bundkort.
Neiderman præsenteret sine resultater på en sikkerheds-konference sponseret af Kapersky Lab.
Tizen er, der kører på omkring 30 millioner smart Tv, så godt, som på Samsung ‘ s Gear smartwatches og på telefoner i et begrænset antal lande, herunder Rusland, Indien og Bangladesh, i henhold til Bundkortet rapport.
Samsung har planer om at have 10 millioner Tizen-telefoner på markedet i år, og har meddelt OS vil blive installeret på sin nye linje af intelligente vaskemaskiner og køleskabe, er det tilføjet.
Store App Sårbare
Mens alle de sårbarheder i software tillade en hacker at overtage kontrollen af enheder, der kører Tizen, en fejl, Neiderman fundet særligt foruroligende kompromitteret den software, der bruges til at installere software via app store til OS.
Selv om den TizenStore software godkender apps, før de er installeret på en enhed, Neiderman udnyttede en sårbarhed, at lade ham få kontrol over apps, før de kan blive godkendt.
Neiderman kontaktet Samsung måneder siden om sine resultater, han fortalte Bundkort, men han modtog kun en automatisk e-mail besked i svaret.
Selskabet tilsyneladende har henvendt sig til ham om sin forskning i de seneste dage, dog, og han har delt lidt information med virksomheden.
“Samsung Electronics tager sikkerhed og beskyttelse af personlige oplysninger meget alvorligt. Vi kontrollere regelmæssigt vores systemer, og hvis der er en troværdig potentielle sårbarhed, handler vi hurtigt for at undersøge og løse problemet,” Samsung sagde i en erklæring, forudsat at LinuxInsider, som talsmand Danielle Meister Cohen.
“Vi løbende levere software opdateringer til forbrugerne for at beskytte deres produkter,” selskabet fastholdt. “Vi er fuldt ud indstillet på at samarbejde med Mr. Neiderman til at afbøde eventuelle potentielle sårbarheder.”
At genopfinde den dybe tallerken – Dårligt
Med Tizen, som er et open source-styresystem baseret på Linux, Samsung forsøger at tilbyde et alternativ OS til et marked, der er domineret af Googles Android og Apples iOS.
“Det er at forsøge at genopfinde hjulet, og de gør et dårligt stykke arbejde med det,” sagde Patrick Tiquet, direktør for sikkerhed og arkitektur på
Keeper Sikkerhed.
“Det lyder for mig også, at de cheaped ud på deres software udvikling team,” fortalte han LinuxInsider. “Du kan ikke gøre det, når du tager på Google og Android.”
Tizen er programmering er værre kode Neiderman nogensinde har set, han fortalte Bundkort, der konstaterer, at der er fejl i den software, der svarer til dem, programmører lavet for 20 år siden.
Det ser ud til, at ingen, der forstår, at sikkerhed var involveret i enten skrive den kode, eller i at gennemgå det, han sagde, hvilket resulterer i alt, hvad der går galt, der eventuelt kunne gå galt.
Botnet Bonanza
Forbrugerne bør være bekymret for, om sårbarheder Neiderman opdaget i Tizen, vedligeholdes James Scott, der er senior fellow med
Institut for Kritisk Infrastruktur Teknologi.
Tidligere ukendte, eller “nul-dag,” fejl er fundet i alle software, erkendte han.
At sagde, “forbrugerne bør være meget berørte af det store antal af zero-day sårbarheder findes ved hjælp af en enkelt forsker,” fortalte Scott LinuxInsider. “Andre pen testere, forskere eller hackere kan være i stand til at opdage, tiere eller hundreder mere udnyttelige zero day-sårbarheder.”
Forsendelse-enheder, der kører software, der sætter forbrugere i risiko overtræder en stiltiende aftale mellem en virksomhed og dens kunder, siger Michael Patterson, administrerende DIREKTØR for
Plixer International.
“Teknologi forbrugerne har en uudtalt tillid til, at ny teknologi køb er afsendt fra producenten med de nyeste sikkerhedsfunktioner og funktionalitet indbygget,” fortalte han LinuxInsider.
“Hvis Amihai Neiderman resultater er korrekte, det er alarmerende, at Samsung er shipping smart Tv, smartwatches og mobiltelefoner med mange alvorlige sikkerhedshuller,” Patterson fortsatte.
“I betragtning af, at Tizen er i øjeblikket kører på 30 millioner enheder, og at Samsung har planer om at have 10 millioner Tizen-telefoner i år, er potentialet for, at disse enheder til at blive medlemmer af den næste store botnet er meget reel,” advarede han.
Øjne på Sikkerhed
En af de søjler af open source-software er, at “mange øjne” af samfundet vil fange fejl og mangler i et projekt kode. At der tilsyneladende ikke har været tilfældet med Tizen.
“Jeg har ikke set en masse af interesse i Tizen fra udviklere, og det har ikke været udbredt-så du ikke har interesse i det, som du ville se dem i noget som Android,” Keeper Sikkerhed er Tiquet sagde.
Hvis der ikke er flere øjne, der kigger på kildekoden,” bemærkede han, “så du ikke har den sikkerhed, eller revision, som du ville have en mere populære open source-projekt.”
Tizen er problemer er velkendte, sagde Chris Clark, principal security engineer til strategiske initiativer på
Synopsys.
“Da Linux kom ud, de samme kommentarer om, at” forfærdelig kode,’ ‘dårlig sikkerhed’, og andre mere farverige forklaringer, der flød frit, ģ huskede han.
“Nu, at Linux er mere moden, disse spørgsmål er sværere at finde, selv om de stadig findes,” Clark fortalte LinuxInsider. “Dette er ikke et simpelt problem. TV-producenter skal have fokus på innovation, automatisering og udvikling af metoder til at minimere vellykkede angreb.”
John P. Mello Jr. har været en ECT News Network reporter
siden 2003. Hans fokusområder omfatter cybersecurity, er DET spørgsmål, privatlivets fred, e-handel, sociale medier, kunstig intelligens, big data og forbrugerelektronik. Han har skrevet og redigeret en lang række publikationer, herunder Boston Business Journal,
Boston Phoenix, Megapixel.Net og Regeringen
Sikkerhed Nyheder. E-Mail John.