TIZEN

Slakter sikkerheten og kildekoden til Samsungs Android-alternativ

Bruker Tizen i en rekke produkter, inkludert selskapets tv-er.

Slik illustrerer Kaspersky Lab smart-tv-er med Tizen som operativsystem - altså fulle av hull.
Slik illustrerer Kaspersky Lab smart-tv-er med Tizen som operativsystem - altså fulle av hull. Bilde: Kaspersky Lab
Harald BrombachHarald BrombachNyhetsleder
6. apr. 2017 - 19:00

Mange titalls millioner av produkter fra Samsung benytter Tizen, et Linux- og åpen kildekode-basert operativsystem med en temmelig broket fortid. Dette omfatter blant annet smarte hvitevarer, smartklokker og smart-tv-er. Men det viser seg nå at sikkerheten i operativsystemet er så dårlig at man kanskje bør vurdere å koble enhetene fra internett. 

Under Security Analyst Summit, som Kaspersky Lab arrangerer St. Maarten denne uken, fortalte den israelske sikkerhetsanalytikeren Amihai Neiderman at han hadde funnet omtrent 40 til nå ukjente sårbarheter i den åpen kildekode til Tizen. Disse sårbarhetene skal kunne brukes av ondsinnede til å oppnå kontroll over enheten. Blant annet er en av sårbarhetene er knyttet til TizenStore-applikasjon, som har svært høye privilegier på systemet og som kan brukes til å installere skadevare på enhetene. 

Dette skriver Kaspersky Lab i et blogginnlegg.

Satt tilbake til 2005

– Jeg fant omkring 40 ulike feil, de fleste av dem ser ut til å kunne utnyttes. Det føltes som om jeg var satt tilbake til år 2005, med tanke på sårbarhetene jeg fant. Du åpner en bok om sårbarhetsforskning, og det kan være det første eksemplet du ser, sier Neiderman i en uttalelse som er gjengitt i blogginnlegget. 

– Akkurat nå er ikke Tizen moden nok, det er ikke klart nok til å bli sendt ut til offentligheten på denne måten, sier Neiderman. Han opplyser at han fant disse sårbarhetene i løpet bare noen få timer med undersøkelser og mener at de med virkelig motivasjon til å bli en Tizen-forsker vil finne langt flere sårbarheter. 

Trolig det verste han har sett 

Neiderman har også blitt intervjuet av Motherboard. Der legger han ikke skjul på hva han mener om kodekvaliteten i Tizen-operativsystemet. 

– Det er kanskje den verste koden jeg noensinne har sett. Alt du kan gjøre feil her, har de gjort. Du kan se at ingen med noen som helst forståelse for sikkerhet har sett på koden eller skrevet den. Det er som å ta en laveregradsstudent og la ham programmere programvaren for deg, sier Neiderman i intervjuet. 

Han sier at mye av Tizen-koden er gammel og henter mye fra Samsungs tidligere operativsystemprosjekter, slik som Bada. De fleste av sårbarhetene han har funnet, skal likevel være i Tizen-spesifikk kode lagt i løpet av de to siste årene. Men sårbarhetene skyldes ifølge Neiderman feil av den typen som utviklere typisk gjorde for 20 år siden, blant annet bruken av strcpy()-funksjonen, som ikke sjekker om det er nok plass i minnet til å skrive dataene som skal kopieres.

Manglende kryptering

I tillegg skal bruken av kryptering for å sikre overføring av data være mangelfull og typisk mangle på de områdene hvor behovet er størst. Neiderman mener at dette ikke er gjort uforvarende, men faktisk må være basert på bevisste beslutninger. 

Ifølge Motherboard har Neiderman tidligere tatt kontakt med Samsung om sine funn, opprinnelige uten å få annet et automatisk epostsvar tilbake. Men selskapet skal ha tatt kontakt med ham i forrige uke. 

Motherboard har mottatt flere uttalelser fra Samsung. Først en som forteller at selskapet tar sikkerhet og personvern svært alvorlig, samt jevnlig sjekker systemene og etterforsker varsler som mottas om potensielle sårbarheter. 

Senere skriver selskapet: 

– Vi er opptatt av å samarbeide med Mr. Neierman for å redusere potensielle svakheter. Vi forplikter oss til å samarbeide med sikkerhetseksperter omkring i verden for å redusere sikkerhetsrisikoer gjennom vårt SmartTV Bug Bounty-program. 

Samsung planlegger angivelig også å satse tyngre på Tizen i smartmobiler. Neierman mener at operativsystemet ikke er trygt nok for dette.

Les også: Ny sjanse for Tizen

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.