Forskare: "Tizen är en amatörmässigt programmerad säkerhetsrisk"

Forskare: "Tizen är en amatörmässigt programmerad säkerhetsrisk"

En forskare som granskat Samsungs operativsystemsplattform Tizen påvisar åtskilliga säkerhetsrisker i vad som kallas "den sämsta kod han sett".

Tizen är namnet på ett Linux-baserat operativsystem. Det utvecklas som ett öppet källkodsprojekt men används huvudsakligen av Samsung i ett flertal av företagets konsumentprodukter, bland annat TV-apparater och smarta klockor. En forskare som har granskat den underliggande koden påvisar nu att Tizen är fylld till brädden med säkerhetsbrister.

Den israeliska säkerhetsforskaren Amihai Neiderman berättar i en intervju med Motherboard om källkoden till Samsungs Tizen-plattform, som han beskriver som "förmodligen den sämsta kod jag någonsin sett" och beskriver vidare att alla möjliga fel som kan göras ur säkerhetsaspekt finns representerade i Tizen-koden.

En stor del av koden kommer från tiden då plattformen kallades Meego och utvecklades av Intel och Nokia, men Neiderman menar att majoriteten av den bristfälliga koden kommer från nyligen tillagd kod. Som exempel på en vanlig brist i koden är en felaktig användning av en funktion i programmeringsspråket C, vilket kan utnyttjas för att orsaka en buffer overflow-attack.

samsung-smart-tv-800x450.jpg

Ytterligare en brist som påvisas är att Tizen-koden använder SSL-kryptering inkonsekvent och felaktigt, vilket leder till att information ibland skickas öppet utan kryptering. Samsung använder Tizen som operativsystem i företagets moderna TV-apparater, där ett flertal angrepp skett på senare tid. Bland annat avslöjades att brister i Samsungs TV-apparater kan utnyttjas för att avlyssna användare.

Majoriteten av dessa angrepp krävde dock att angripande mjukvara aktiveras av användaren, men Neiderman påvisar flera brister som möjliggör fjärranslutna angrepp. Ett sådant exempel är Tizen Store, plattformens mjukvarubutik, som körs med privilegierade rättigheter. Detta innebär att ett angrepp kan ge full kontroll över enheten utan användarens inblandning.

Neiderman rapporterade upptäckten till Samsung, men berättar att han endast fick automatiska standardsvar. Efter att upptäckterna publicerades har Samsung dock gått ut med att företaget ska samarbeta med Neiderman för att åtgärda bristerna.

Kommentarer till artikeln

52 debattinlägg

Skicka en rättelse
19

Google inför licensavgift för telefontillverkare som använder Android

För att kompensera för uteblivna intäkter från Android-enheter avgiftsbelägger nu Google operativsystemet i Europa, där licenskostnaderna kan landa på motsvarande 450 kronor. Läs mer

39

Välkommen till SweClockers Meet & Geek i Skellefteå den 9 november!

Det nalkas ännu en medlemsträff för SweClockers gemenskap! Den här gången reser redaktionen norrut till Skellefteå, för att avnjuta en helkväll med god mat, förfriskningar och snack på Stadskällaren. Läs mer

24

Nvidia listar Geforce GTX 1060 med 6 GB GDDR5X-minne

Mellanklasskortet Geforce GTX 1060 från Nvidia finns redan i flera utföranden och på företagets webbsida syns nu ännu en variant, som bestyckas med snabbare grafikminne av GDDR5X-typ. Läs mer

88

Quiz: Datorer i film

Ny vecka betyder nytt quiz på SweClockers, och denna gång handlar det om datorer som figurerat i filmer genom åren. Läs mer

52

Helgsnack: Vilket är ditt bästa LAN-minne?

Dreamhack Winter 2018 närmar sig med stormsteg, och vi är därför nyfikna på att höra om dina bästa LAN-minnen. Gå in i forumet och dela med dig! Läs mer

203

Test: Intel Core i9-9900K, i7-9700K och i5-9600K – "Coffee Lake Refresh"

Intel äntrar testlabbet med nionde generationens Core-processorer, denna gång med åtta kärnor under huven och ruskigt höga klockfrekvenser direkt ur kartong. Läs mer

33

AMD kritiserar Principled Technologies tester av Core i9-9900K och AMD Ryzen

Nyligen uppdaterade Principled Technologies sitt test av Core i9-9900K och AMD Ryzen, men enligt AMD finns det fortfarande vissa brister gällande hur dessa har utförts. Läs mer

10

Asus sägs förbereda ROG Strix Gaming-modell av kommande Radeon RX 590

Med förbättrad tillverkningsteknik och högre klockfrekvenser väntas Polaris än en gång fräschas upp, och Asus förbereder nu enligt uppgift grafikkortet Radeon RX 590 ROG Strix. Läs mer

12

Samsung lanserar Galaxy Book 2 med Qualcomm Snapdragon 850

Samsung utmanar Microsoft Surface Pro med sin Galaxy Book 2, en hybriddator med Qualcomm Snapdragon-processor och upp till 20 timmars batteritid. Läs mer

7

Valve gör det möjligt för enklare hårdvara att driva VR med Motion Smoothing

Valve vidareutvecklar sin lösning för algoritmbaserad rendering i VR, något som bland annat sänker hårdvarukraven för spel. Läs mer

12

In Win släpper kompakt nätaggregat på 700 W i formfaktorn SFX

Tillverkaren In Win breddar nu sitt sortiment av nätaggregat med den kompakta modellen In Win CS 700W, för vilket formfaktorn SFX och effektivitet enligt 80 Plus Gold gäller. Läs mer

19

Corsair lanserar PCI Express-baserade Force MP510

Med fokus på hög prestanda och utökad livslängd ersätter Corsair SSD-enheten MP500 med nykomlingen Force MP510, som även den använder formfaktorn M.2 och gränssnittet PCI Express. Läs mer