İsrailli güvenlik araştırmacısı Equus Software'den Amihai Neiderman ile konuşan Motherboard, şu anda Tizen'ı işletim sistemi olarak kullanan her Samsung TV'nin, saatin veya telefonun uzaktan çalıştırılmasını ve hacklenmesini sağlayacak 40 rapor edilmemiş güvenlik açığı olduğunu söylüyor. Daha ciddi, bu istismarların arkasındaki neden ve nedenlerle ilgili bazı iddialar.
Gördüğüm en kötü kod olabilir.
Samsung, telefonları ve tabletlerinde Android'i Tizen ile değiştirmeyi düşünmese de, mevcut ekosistemi büyük bir şekilde genişletmek üzere: Samsung, Tizen'i ileriye sattığı her akıllı cihazda kullanmaya kararlıdır. Akıllı buzdolapları, biri e-postanızı birinden geçirene kadar harika bir fikir gibi geliyor.
Neiderman, Anakart'a söylediğim en büyük kod olabilir. Orada yapabileceğin her şey yanlış. Güvenlik koduna sahip hiç kimsenin bu koda bakmadığını veya yazmadığını görebilirsiniz. Lisans almak ve yazılımınızı programlamasına izin vermek gibidir.
Herhangi bir büyük yazılım projesi, böcek ve istismarın adil bir payına sahip olacaktır. Bazıları diğerlerinden daha ciddi olsa da, çoğu araştırmacı Tizen’e Android, iOS ve Windows’a odaklandıkları gibi bakıyorlar. Bu büyük ölçüde Samsung'un bir hafta içinde Tizen çalıştıran telefonları satacağı bir hafta içinde daha fazla Galaxy S8 telefonu satacağı için. Ancak bu, birçoğumuzun şu anda bileğimizin üzerinde bulunan Gear S3 smartwatch da dahil olmak üzere Samsung'un başarılı ürün serilerinin çoğuna bakar. Neiderman, Samsung'un Tizen için geliştirme ekibine yönelik ciddi bir renk tonuyla devam ediyor.
Tizen kod tabanının çoğunun eski olduğunu ve Samsung'un ürettiği eski bir cep telefonu işletim sistemi olan Bada da dahil olmak üzere önceki Samsung kodlama projelerinden ödünç aldığını belirtti.
Ancak bulduğu güvenlik açıklarının çoğu, son iki yıl içinde özellikle Tizen için yazılmış yeni kodda bulunuyordu. Birçoğu, programcıların yirmi yıl önce yaptıkları bir tür hatalar. Samsung'un bu tür kusurları önlemek ve yakalamak için temel kod geliştirme ve inceleme uygulamalarından yoksun olduğunu gösteriyor.
Bu, birkaç nedenden ötürü özellikle endişe vericidir. Öncelikle, Samsung'un Android'e eklediği kod açık kaynak olmadığı için herhangi bir arkadaş inceleme sürecine sahip değil. Samsung, iddia edildiği gibi, kodlama ve inceleme teknikleri konusunda eksikse, Android portföyünde de aynı türden hatalar olabilir. Durum böyle olmasa bile, Samsung Gear saat ailesi oldukça az sayıda Android cihaza bağlı ve doğru araçlara ve biraz bilgi birikimine sahip birine açık olabilecek birçok bilgiyi paylaşıyor.
Saldırgan, TizenStore uygulaması aracılığıyla istedikleri herhangi bir yazılımı yükleyebilir.
Samsung Pay aracılığıyla tokenize edilmiş finansal verilerin bile, saatinizde bir ödeme terminaline veya bankanıza geri dönecek kadar uzun olsa bile, saatinizde bir düzeyde yaşaması gerekir. Neyse ki saklanır, şifresini çözmek için anahtarlar olmadan ve belirteci ne için olduğuna bir referans olmadan çoğunlukla değersiz kılan bir yoldur.
Tüm bunlar bir yana, en büyük sorun, Tizen uygulama mağazası ve kurulumcusu ile ilgili bir sorun.
Neiderman'ın ele geçirdiği bir güvenlik deliği özellikle kritikti. Samsung'un TizenStore uygulamasını (Samsung'un Google Play Store'un sürümü) içeren ve Tizen cihazlarına uygulama ve yazılım güncellemeleri sağlayan bir uygulama. Neiderman, tasarımındaki bir kusurun, Samsung TV'sine kötü niyetli kodlar vermek için yazılımı kaçırmasına izin verdiğini söyledi.
Bu bir gösteri durdurucu. TizenStore uygulaması mutlak sistem ayrıcalıklarıyla çalışır ve kullanıcıdan ikincil girişi olmayan herhangi bir şeyi yükleyip çalıştırabilir. Bu işlemi kaçırmak ve uzaktan erişim için araçları yüklemek ve sistem ayrıcalıklarını vermek için kullanmak, bir saldırganın istediği her şeyi yapabileceği anlamına gelir. TizenStore'a veya Tizen uygulamalarını kurmanın başka bir yoluna erişimi olan her cihaz, Samsung Gear ailesi de dahil olmak üzere potansiyel olarak savunmasızdır.
Kimsenin saatini veya televizyonunu atmasını tavsiye etmiyoruz. Anakart'a, Neiderman'la çalıştığını söyleyen ve her şeyi şekillendirmek için Samsung'a ulaştık ve bir şey duyduğumuzda güncelleme yapacağız.
Şimdilik, Tizen destekli cihazlarınızı kullanırken bir Windows bilgisayarla veya Android uygulamalarını yan yana yüklerken yaptığınız gibi aynı önlemleri alın.
