Det er mer enn tre dusin tidligere ukjente feil som utgjør en potensiell trussel mot forbrukere ved hjelp av noen Samsung-Tv-er, klokker og mobiltelefoner, en sikkerhet forsker rapportert mandag.
Hackere kan utnytte sårbarheter som finnes i Samsung er Tizen-operativsystemet for å få ekstern tilgang og kontroll av en rekke av selskapets produkter, Amihai Neiderman, forskningssjef ved Equus Programvare, fortalte Hovedkort.
Neiderman presenterte sine funn på en sikkerhetskonferanse sponset av Kapersky Lab.
Tizen er som kjører på rundt 30 millioner kroner smart Tv, så vel som på Samsungs Utstyr smartwatches og på telefoner i et begrenset antall land, inkludert Russland, India og Bangladesh, i henhold til Hovedkortet rapporten.
Samsung har planer om å få 10 millioner Tizen telefonene på markedet dette året, og har annonsert OS vil bli installert på sin nye linje av smart vaskemaskiner og kjøleskap, er det lagt til.
Appen Sårbare
Mens alle sårbarheter i programvare tillater en hacker å ta kontroll over enheter som kjører Tizen, en feil Neiderman funnet spesielt urovekkende kompromittert programvaren som brukes til å installere programvare via app store for OS.
Selv om det TizenStore programvare godkjenner apper før de blir installert på en enhet, Neiderman utnyttet en sårbarhet som lar ham få kontroll over apper før de kunne godkjennes.
Neiderman kontaktet Samsung måneder siden om sine funn, fortalte han Hovedkort, men han fikk bare en automatisk e-postmelding i respons.
Selskapet tilsynelatende har kontaktet ham om hans forskning i de siste dagene, men han har delt noen informasjon med firmaet.
“Samsung Electronics tar sikkerhet og personvern svært alvorlig. Vi sjekker jevnlig i våre systemer, og du kan når som helst det er en troverdig potensiell sårbarhet, vi handle raskt for å undersøke og løse problemet,” Samsung sa i en uttalelse gitt til LinuxInsider av talsperson Danielle Meister Cohen.
“Vi kontinuerlig gir oppdateringer til forbrukerne til å ivareta sine produkter,” selskapet opprettholdt. “Vi er fullt forpliktet seg til å samarbeide med Mr. Neiderman å redusere eventuelle potensielle sikkerhetsproblemer.”
Gjenoppfinne Hjulet – Dårlig
Med Tizen, som er et open source operativsystem basert på Linux, Samsung prøver å tilby et alternativt operativsystem til et marked dominert av Googles Android og Apples iOS.
“Det er å prøve å finne opp hjulet på nytt, og de gjør en dårlig jobb med det,” sa Patrick Tiquet, direktør for sikkerhet og arkitektur ved
Keeper Sikkerhet.
“Det høres ut for meg, også, at de cheaped ut på egen software utvikling team,” fortalte han LinuxInsider. “Du kan ikke gjøre det når du tar på Google og Android.”
Tizen er programmering er verre kode Neiderman noensinne har sett, fortalte han Hovedkort, og understreker at det er feil i programvaren som ligner de programmerere gjorde for 20 år siden.
Det ser ut til at ingen som forstår sikkerhet var involvert enten i skriving av kode eller gjennomgå den, sa han, noe som resulterer i at alt skal gå galt, som eventuelt kan gå galt.
Botnet-Bonanza
Forbrukerne bør være bekymret om sårbarheter Neiderman oppdaget i Tizen, vedlikeholdes James Scott, en senior stipendiat med
Institutt for Kritisk Infrastruktur-Teknologi.
Tidligere ukjente, eller “zero-day” – feil er funnet i alle programvare, sa han.
Som sa, “forbrukere bør være svært opptatt av det store antallet av zero-day sikkerhetshull oppdages av en enkelt forsker,” Scott fortalte LinuxInsider. “Andre penn testere, forskere eller angripere kan være i stand til å oppdage flere titalls eller hundrevis mer brukbar zero day sårbarheter.”
Frakt enheter som kjører programvare som setter forbrukerne i fare, bryter med en stilltiende avtale mellom selskapet og dets kunder, sa Michael Patterson, administrerende DIREKTØR i
Plixer Internasjonale.
“Teknologi forbrukere har en uuttalt stole på at ny teknologi innkjøp som er levert fra produsenten med de nyeste sikkerhets-funksjoner og funksjonalitet innebygd,” fortalte han LinuxInsider.
“Hvis Amihai Neiderman s funn er korrekte, det er alarmerende at Samsung er shipping smart-Tv-er, smartwatches og mobiltelefoner med mange alvorlige sikkerhetshull,” Patterson fortsatte.
“Gitt at Tizen er for øyeblikket kjører på 30 millioner enheter, og at Samsung planlegger å ha 10 millioner Tizen-telefoner i år, er potensialet for disse enhetene til å bli medlemmer av den neste store botnet er svært reell,” advarte han.
Øyeepler på Sikkerhet
En av pilarene for programvare med åpen kildekode er at “mange øyne” av samfunnet vil fange feil i et prosjekt kode. Som tydeligvis ikke har vært tilfelle med Tizen.
“Jeg har ikke sett mye av interesse i Tizen fra utviklerne, og det har ikke vært utbredte — slik at du ikke har interesse i det som du vil se i noe som Android,” Keeper Sikkerhet er Tiquet sa.
“Hvis det ikke er noen øynene å se på kildekoden,” han sa, “så kan du ikke ha sikkerhet eller anmeldelse som du ville ha med en mer populære åpen kildekode-prosjekt.”
Tizen er problemene er kjent, sa Chris Clark, rektor sikkerhet ingeniør for strategiske satsinger på
Synopsys.
“Når Linux kom ut, den samme kommentarene om ‘forferdelig kode,’ ‘dårlig sikkerhet, og andre mer fargerike forklaringer fløt fritt,” fortalte han.
“Nå som Linux er mer moden, disse problemene er vanskeligere å finne, selv om de fortsatt eksisterer,” Clark fortalte LinuxInsider. “Dette er ikke et enkelt problem. TV-produsenter må fokusere på testing automatisering og utvikling av metoder for å minimere vellykkede angrep.”
John P. Mello Jr. har vært en ECT Nyheter Network reporter
siden 2003. Hans fokusområder inkluderer cybersecurity, IT-problemer, personvern, e-handel, sosiale medier, kunstig intelligens, big data og forbrukerelektronikk. Han har skrevet og redigert for en rekke publikasjoner, inkludert Boston Business Journal,
Boston Phoenix, Megapixel.Net og Regjeringen
Sikkerhet Nyheter. E-John.