Det är mer än tre dussin tidigare okända brister som utgör ett potentiellt hot mot konsumenterna med hjälp av vissa Samsung Tv-apparater, klockor och telefoner, en säkerhetsforskare redovisade måndag.
Hackare kan utnyttja sårbarheter som finns i Samsungs Tizen-operativsystem för att få fjärråtkomst och styrning av en rad av företagets produkter, Amihai Neiderman, chef för forskning vid Equus Programvara, berättade Moderkortet.
Neiderman presenterade sina resultat vid en säkerhet konferensen sponsrades av Kapersky Lab.
Tizen är igång på cirka 30 miljoner smarta Tv-apparater, samt på Samsungs Redskap smartwatches och på telefoner i ett begränsat antal länder, däribland Ryssland, Indien och Bangladesh, enligt Moderkortet rapport.
Samsung planerar att ha 10 miljoner Tizen-telefoner på marknaden i år och har meddelat att OS kommer att vara installerad på sin nya linje av smarta tvättmaskiner och kylskåp, lagt det.
Store App Utsatta
Medan alla sårbarheter i programvara tillåter en hackare att ta kontroll över enheter som kör Tizen, en brist Neiderman finns särskilt störande äventyras den programvara som används för att installera program via app store för OS.
Även om det TizenStore programvara verifierar appar innan de installeras på en enhet, Neiderman utnyttjade en sårbarhet att låta honom få kontroll över appar innan de kan verifieras.
Neiderman kontaktade Samsung månader sedan om att hans resultat, han sa till Moderkortet, men han fick bara ett automatiserat e-postmeddelande till svar.
Företaget uppenbarligen har kontaktat honom om hans forskning har under de senaste dagarna, dock, och han har delat med sig av viss information med företaget.
“Samsung Electronics tar säkerhet och sekretess på största allvar. Vi kontrollerar regelbundet vårt system och om du någon gång att det är en trovärdig potentiell sårbarhet, vi agera snabbt för att undersöka och lösa frågan,” Samsung sade i ett uttalande att LinuxInsider av talesperson Danielle Meister Cohen.
“Vi ger ständigt uppdateringar till konsumenterna att skydda sina produkter,” bolaget upprätthålls. “Vi är fast beslutna att samarbeta med Mr Neiderman för att mildra eventuella sårbarheter.”
Att uppfinna Hjulet på nytt – Dåligt
Med Tizen, som är ett open source operativsystem baserat på Linux, Samsung försöker att erbjuda ett alternativt OPERATIVSYSTEM till en marknad som domineras av Googles Android och Apples iOS.
“Det handlar om att försöka uppfinna hjulet på nytt och gör ett dåligt jobb av det,” säger Patrick Tiquet, chef för säkerhet och arkitektur vid
Keeper Säkerhet.
“Det låter för mig också, att de cheaped ut på deras programvara team”, sa han till LinuxInsider. “Du kan inte göra det när du tar på Google och Android.”
Tizen är programmering är värre kod Neiderman någonsin har sett, sade han till Moderkortet, notera att det finns fel i programvaran som liknar dem som programmerare gjorde för 20 år sedan.
Det verkar som om ingen som förstår säkerhet var inblandad antingen i skrivandet av koden, eller att se över det, sade han, vilket resulterar i att allt går fel som eventuellt kan gå fel.
Botnet-Bonanza
Konsumenter bör vara oroad över de sårbarheter som Neiderman upptäckte i Tizen, underhålls James Scott, senior fellow med
Institutet för Kritisk Infrastruktur Teknik.
Tidigare okända, eller “zero day,” brister finns i alla program, medgav han.
Som sagt, “konsumenterna bör vara mycket berörda av det stora antalet zero day-sårbarheter som kan upptäckas genom en enda forskare,” Scott berättade LinuxInsider. “Andra pen-testare, forskare eller angripare kan vara i stånd att upptäcka tiotals eller hundratals fler utnyttjas zero-day sårbarheter.”
Frakt enheter som kör programvara som sätter konsumenterna bryter mot en tyst överenskommelse mellan ett företag och dess kunder, säger Michael Patterson, VD,
Plixer International.
“Teknik konsumenter har en outtalad litar på att ny teknik inköp levereras från tillverkaren med de senaste säkerhets-funktioner inbyggda,” han berättade LinuxInsider.
“Om Amihai Neiderman slutsatser är korrekta, är det oroväckande att Samsung levererar smarta Tv-apparater, smartwatches och mobiltelefoner med många allvarliga säkerhetsbrister,” Patterson fortsatte.
“Med tanke på att Tizen kör för närvarande på 30 miljoner enheter och att Samsung planerar att ha 10 miljoner Tizen-telefoner i år, risken för att dessa enheter för att bli medlemmar av nästa stora botnät är mycket verklig,” varnade han.
Ögonglober på Säkerhet
En av pelarna av programvara med öppen källkod är att “många ögon” i samhället kommer att fånga brister i projektets kod. Som tydligen inte har varit fallet med Tizen.
“Jag har inte sett en hel del av intresse i Tizen från utvecklare, och det har inte varit spridda — så att du inte har intresse i det som du skulle se i något som Android,” Keeper Säkerhet är Tiquet sagt.
“Om det inte finns några ögon att titta på källkoden”, sade han, “då du inte har säkerheten eller den översyn som du vill ha med en mer populära open source-projekt.”
Tizen problem är bekanta, säger Chris Clark, rektor säkerhetstekniker för strategiska initiativ på
Synopsys.
“När Linux kom ut, samma kommentarer om” fruktansvärt kod,’ ‘dålig säkerhet, och andra mer färgglada förklaringar flödade fritt, mindes han.
“Nu att Linux är mer mogen, dessa frågor är svårare att hitta, men de finns fortfarande,” Clark berättade LinuxInsider. “Detta är inte ett enkelt problem. TV-tillverkare måste inriktas på att testa automation och utveckling av metoder för att minimera framgångsrika attacker.”
John P. Mello Jr har varit en ECT News Network reporter
sedan 2003. Hans fokusområden omfatta it-säkerhet, IT-frågor, integritet, e-handel, sociala medier, artificiell intelligens, big data och hemelektronik. Han har skrivit och redigerat ett flertal publikationer, bland annat Boston Business Journal,
Boston Phoenix, Megapixel.Net och Regeringen
Säkerhet Nyheter. E-Post John.