Forskare: "Tizen är en amatörmässigt programmerad säkerhetsrisk"

Forskare: "Tizen är en amatörmässigt programmerad säkerhetsrisk"

En forskare som granskat Samsungs operativsystemsplattform Tizen påvisar åtskilliga säkerhetsrisker i vad som kallas "den sämsta kod han sett".

Tizen är namnet på ett Linux-baserat operativsystem. Det utvecklas som ett öppet källkodsprojekt men används huvudsakligen av Samsung i ett flertal av företagets konsumentprodukter, bland annat TV-apparater och smarta klockor. En forskare som har granskat den underliggande koden påvisar nu att Tizen är fylld till brädden med säkerhetsbrister.

Den israeliska säkerhetsforskaren Amihai Neiderman berättar i en intervju med Motherboard om källkoden till Samsungs Tizen-plattform, som han beskriver som "förmodligen den sämsta kod jag någonsin sett" och beskriver vidare att alla möjliga fel som kan göras ur säkerhetsaspekt finns representerade i Tizen-koden.

En stor del av koden kommer från tiden då plattformen kallades Meego och utvecklades av Intel och Nokia, men Neiderman menar att majoriteten av den bristfälliga koden kommer från nyligen tillagd kod. Som exempel på en vanlig brist i koden är en felaktig användning av en funktion i programmeringsspråket C, vilket kan utnyttjas för att orsaka en buffer overflow-attack.

samsung-smart-tv-800x450.jpg

Ytterligare en brist som påvisas är att Tizen-koden använder SSL-kryptering inkonsekvent och felaktigt, vilket leder till att information ibland skickas öppet utan kryptering. Samsung använder Tizen som operativsystem i företagets moderna TV-apparater, där ett flertal angrepp skett på senare tid. Bland annat avslöjades att brister i Samsungs TV-apparater kan utnyttjas för att avlyssna användare.

Majoriteten av dessa angrepp krävde dock att angripande mjukvara aktiveras av användaren, men Neiderman påvisar flera brister som möjliggör fjärranslutna angrepp. Ett sådant exempel är Tizen Store, plattformens mjukvarubutik, som körs med privilegierade rättigheter. Detta innebär att ett angrepp kan ge full kontroll över enheten utan användarens inblandning.

Neiderman rapporterade upptäckten till Samsung, men berättar att han endast fick automatiska standardsvar. Efter att upptäckterna publicerades har Samsung dock gått ut med att företaget ska samarbeta med Neiderman för att åtgärda bristerna.

Kommentarer till artikeln

52 debattinlägg

Skicka en rättelse
25

AMD Threadripper innehåller fyra Zeppelin-kretsar

Lanseringen av AMD Threadripper den 10 augusti närmar sig med stormsteg, och nu avslöjas uppseendeväckande detaljer kring kretsuppsättningen – 32 kärnor är närvarande på kislet. Läs mer

12

Destiny 2 får systemkrav och betadatum

Det börjar dra ihop sig till ett första test av Destiny 2 även på PC. I slutet av augusti öppnas portarna för betasugna, och nu kommer även en inledande laddning systemkrav. Läs mer

32

AMD visar positivt rörelseresultat för årets andra kvartal

Efter en svag inledning på 2017 står det nu klart att AMD har gjort ett starkare andra kvartal. Företaget förutspår dessutom ännu bättre tider framöver. Läs mer

9

Wolfenstein II: The New Colossus provkörs hos FZ

Wolfenstein: The New Order får en uppföljare, som lovar samma täta action och vältrimmade kontroller. FZ levererar första intryck. Läs mer

99

Test: AMD Ryzen 3 1300X och 3 1200

Kort innan AMD släpper lös Threadripper kompletteras Ryzen-familjen med två instegsmodeller i färska Ryzen 3-serien. Häng med till testlabbet där nykomlingarna får bekänna färg. Läs mer

39

AMD släpper Radeon Crimson Relive 17.7.2

AMD fortsätter att slipa på drivrutinen Crimson Relive. I den senaste uppdateringen rullar företaget ut både förbättringar och nya funktioner. Läs mer

45

Nintendo har sålt 4,7 miljoner Switch-enheter sedan lanseringen

Nintendo presenterar sin andra kvartalsrapport för 2017, där det framgår att företaget sålt 4,7 miljoner enheter av Nintendo Switch sedan dess lansering i mars. Läs mer

46

EagleTree Capital förvärvar majoritet av Corsair

EagleTree Capital rapporterades tidigare i veckan ha inlett förhandlingar med Corsair om andelsköp. Nu har affären gått igenom för drygt fyra miljarder kronor. Läs mer

32

AMD talar om övergången till 7 nanometer

Övergången till 7 nanometer går inte fort och AMD:s teknikchef Mark Papermaster talar nu ut i en intervju om de många hinder som har uppstått i övergången. Läs mer

89

AMD Radeon RX Vega ryktas få prislapp i linje med Geforce GTX 1080 Ti

Det börjar dra ihop sig till AMD Vega, och nu cirkulerar de första prisuppgifterna bakom kulisserna. Toppmodellen ryktas landa i samma liga som påkostade varianter av Geforce GTX 1080 Ti. Läs mer

24

USB 3.2 är det senaste tillskottet i USB Type-C

Mängden specifikationer för överföring via USB Type-C bara växer, och senaste tillskottet utlovar fördubblad bandbredd jämfört med föregångaren. Läs mer

71

AMD Radeon RX Vega poserar i bilder och prestandatester

Om några dagar är det dags för spelorienterade Radeon RX Vega att äntra rampljuset. Nu har läckta bilder och prestandaresultat letat sig ut på nätet. Läs mer