Forskare: "Tizen är en amatörmässigt programmerad säkerhetsrisk"

Forskare: "Tizen är en amatörmässigt programmerad säkerhetsrisk"

En forskare som granskat Samsungs operativsystemsplattform Tizen påvisar åtskilliga säkerhetsrisker i vad som kallas "den sämsta kod han sett".

Tizen är namnet på ett Linux-baserat operativsystem. Det utvecklas som ett öppet källkodsprojekt men används huvudsakligen av Samsung i ett flertal av företagets konsumentprodukter, bland annat TV-apparater och smarta klockor. En forskare som har granskat den underliggande koden påvisar nu att Tizen är fylld till brädden med säkerhetsbrister.

Den israeliska säkerhetsforskaren Amihai Neiderman berättar i en intervju med Motherboard om källkoden till Samsungs Tizen-plattform, som han beskriver som "förmodligen den sämsta kod jag någonsin sett" och beskriver vidare att alla möjliga fel som kan göras ur säkerhetsaspekt finns representerade i Tizen-koden.

En stor del av koden kommer från tiden då plattformen kallades Meego och utvecklades av Intel och Nokia, men Neiderman menar att majoriteten av den bristfälliga koden kommer från nyligen tillagd kod. Som exempel på en vanlig brist i koden är en felaktig användning av en funktion i programmeringsspråket C, vilket kan utnyttjas för att orsaka en buffer overflow-attack.

samsung-smart-tv-800x450.jpg

Ytterligare en brist som påvisas är att Tizen-koden använder SSL-kryptering inkonsekvent och felaktigt, vilket leder till att information ibland skickas öppet utan kryptering. Samsung använder Tizen som operativsystem i företagets moderna TV-apparater, där ett flertal angrepp skett på senare tid. Bland annat avslöjades att brister i Samsungs TV-apparater kan utnyttjas för att avlyssna användare.

Majoriteten av dessa angrepp krävde dock att angripande mjukvara aktiveras av användaren, men Neiderman påvisar flera brister som möjliggör fjärranslutna angrepp. Ett sådant exempel är Tizen Store, plattformens mjukvarubutik, som körs med privilegierade rättigheter. Detta innebär att ett angrepp kan ge full kontroll över enheten utan användarens inblandning.

Neiderman rapporterade upptäckten till Samsung, men berättar att han endast fick automatiska standardsvar. Efter att upptäckterna publicerades har Samsung dock gått ut med att företaget ska samarbeta med Neiderman för att åtgärda bristerna.

Kommentarer till artikeln

52 debattinlägg

Skicka en rättelse
4

Fredagspanelen 156: Nvidia Turing i sommar och Battlefield V avtäckt

Jonas och Kenneth känner pressen från en eventuell lansering av Nvidias nya grafikkort nu i sommar samtidigt som de måste diskutera avtäckandet av DICE nya Battlefield-titel. Läs mer

6

Galleriet: Tangentbord i två delar av "willesakken"

Medlemmen "willesakken" bygger ett eget tangentbord med en något annorlunda layout, där allting monterats ihop från grunden på ett tvådelat kretskort. Läs mer

24

Samsung uppdaterar 2018 års tv-apparater med stöd AMD Freesync

Flera av Samsungs tv-apparater får en ny mjukvaruuppdatering, vilken lägger till stöd för adaptiv bildsynkronisering i form av Freesync. Läs mer

2

Nördigt med SweClockers på Inferno Online

Det var allt från CS-turnering till prestigefylld tangentbordskamp när SweClockers medlemmar intog Inferno Online. Här är bilder från eventet! Läs mer

74

SVT granskar kravbrev till misstänkta fildelare – 35 000 skickas ut under 2018

Uppdrag granskning har gjort en granskning av massutskicken av kravbreven till misstänkta fildelare, och menar att många oskyldiga drabbas på grund av bristfälliga metoder. Läs mer

54

Apple stoppar Steam Link för IOS

Möjligheten att strömma spel från datorn till en telefon med IOS ser inte ut att bli verklighet, då Apple gör en helomvändning och stoppar lanseringen av Steam Link på plattformen. Läs mer

76

Spelkritikern John "Totalbiscuit" Bain har avlidit – 33 år gammal

Den kända Youtube-profilen John Bain, mera känd som Totalbiscuit och Cynical Brit, har efter fyra års kamp avlidit i sviterna av cancer. Han blev endast 33 år gammal. Läs mer

1

Nvidia släpper drivrutin för The Crew 2 och State of Decay 2

Nyligen släpptes zombieliret State of Decay 2, samtidigt som Ubisoft just nu kokar ihop en beta för The Crew 2. Nvidia ställer upp med färska drivrutiner för båda speltitlarna. Läs mer

24

Djupdykning i grafikkortens historia – Nvidia och ATI tar över marknaden

I del två av grafikkortens historia hamnar fokus på 2000-talet, med produktfamiljer som i rask takt avlöste varandra och bidrog till att forma dagens oligopol med två dominerande aktörer. Läs mer

38

Forumet: Visa dina DIY-projekt

Datorbyggen i all ära, men vissa gillar att bygga saker från grunden. Har du byggt en arbetsbänk, täljt en kniv eller kanske gömt kabelhärvor på ett finurligt sätt? Gå in i tråden och visa! Läs mer

16

Nvidia och SK Hynix ingår avtal för GDDR6-minne till nästa generations Geforce

Inför nästa generations grafikkort ingår Nvidia ett nytt avtal med SK Hynix. Detta för att säkerställa tillräckliga volymer av GDDR6-minneskretsar och Geforce-grafikkort. Läs mer

32

Den nya dataskyddsförordningen (GDPR) på SweClockers

Inom kort träder den nya dataskyddsförordningen i kraft inom EU, även kallad GDPR. SweClockers förklarar vad denna innebär för dig som medlem. Läs mer