В ОС Tizen от Samsung израильские специалисты обнаружили 40 уязвимостей нулевого дня

в 21:27, , рубрики: Samsung, tizen, информационная безопасность, операционная система, операционные системы, ОС, Софт

В ОС Tizen от Samsung израильские специалисты обнаружили 40 уязвимостей нулевого дня - 1

За последние пару внимание всего ИТ-сообщества привлекли Агентство национальной безопасности США (АНБ) и Центральное разведывательное управление этой же страны. Как оказалось, обе организации очень активно занимаются кибершпионажем даже внутри собственного государства. Для этого они используют сложные инструменты, дыры в защите программного и аппаратного обеспечения и вообще все, что можно. Теперь к аппаратному и программному обеспечению ряда компаний из США специалисты по информационной безопасности относятся с осторожностью, поскольку есть вероятность того, что в ПО оборудования есть лазейки, размещенные там кибершпионами.

Но не всегда разведчикам нужно прикладывать значительные усилия для размещения в ПО или железе таких лазеек. Некоторые производители делают это сами, и потом нужно всего лишь найти уязвимость. В качестве примера можно привести разработку южнокорейской компании Samsung — операционную систему Tizen. Специалисты по кибербезопасности из Израиля, представляющие компанию Equus Software, обнаружили в этой ОС 40 уязвимостей нулевого дня. Теоретически, все это подвергает опасности миллионы пользователей различных устройств от Samsung — телевизоров, телефонов, планшетов, умных часов и других устройств.

В Россию, Индию и Бангладеш Samsung только в этом году планирует завезти более 10 миллионов своих устройств на ОС Tizen. Кроме того, эту программную платформу компания собирается использовать и для умных бытовых устройств, включая стиральные машинки и холодильники. Так что шутка «взломать холодильник» постепенно превращается в реальность.

Практически все обнаруженные уязвимости позволяют злоумышленнику удаленно управлять скомпрометированным девайсом. Эксперт, занимавшийся исследованием Tizen, говорит, что все найденные «дыры» в ПО Samsung опасны, но одна из них максимально критична. Она затрагивает приложение Tizenstore, каталог приложений от Samsung, аналог Google Play Store, откуда пользователи устройств на Tizen загружают дополнительное программное обеспечение.

Поскольку у TizenStore максимальный уровень доступа к устройству, то взломщик, знающий о «дыре» в приложении, может делать с устройством, где установлен каталог, практически все. Несмотря на то, что TizenStore использует аутентификацию, специалисты говорят, что есть способ перехватить управление устройством еще до запуска процедуры аутентификации.

В ОС Tizen от Samsung израильские специалисты обнаружили 40 уязвимостей нулевого дня - 2

Стоит отметить, что это одно из первых масштабных исследований Tizen. Раньше специалисты по кибербезопасности уделяли не слишком много внимания этой ОС из-за ее небольшой распространенности. Сейчас же Samsung продвигает Tizen, популярность операционной системы увеличивается, соответственно, программная платформа привлекает внимание не только специалистов по информационной безопасности, но и взломщиков. В Equus Software решили изучить Tizen 8 месяцев назад, после того, как компания купила умный телевизор от Samsung с этой ОС.

Изначально компания Samsung не придавала слишком важного значения своей операционной системе. Так, первые телефоны с Tizen поступили в продажу только в Южной Африке, Непале, Индонезии. Сейчас же, как и указывалось выше, южнокорейская корпорация собирается предложить свои Tizen-устройства европейцам и американцам.

Почти сразу после начала изучения ОС израильские эксперты обнаружили много проблем с кодом этого продукта. Поэтому было решено приобрести еще и несколько телефонов с Tizen, чтобы проанализировать и их. Как утверждает команда проекта, в коде Tizen содержится много наработок из других продуктов Samsung, включая ОС Bada, разработка и поддержка которой прекращена.

Тем не менее, большая часть уязвимостей новые, они содержатся в коде, написанном специально под Tizen за последние пару лет. Некоторые проблемы — обычные ошибки программистов. В Equus Software считают, что в корпорации не слишком тщательно проверяют код, уделяя недостаточное количество внимания вопросу кибербезопасности. Один из недостатков кода различных программных продуктов от Samsung — повсеместное использование проблемной функции Strcpy(), с которой большинство современных ИТ-специалистов не работает.

Кроме того, программисты компании используют SSL-шифрование лишь частично, причем зачастую получается так, что в тех местах, где шифрование наиболее критично оно не используется. «Они делают ложные предположения, пытаясь выбрать, где требуется шифрование», — говорит эксперт по кибербезопасности Амихай Нейдермен (Amihai Neiderman).

В ОС Tizen от Samsung израильские специалисты обнаружили 40 уязвимостей нулевого дня - 3

Узнав о проблеме, представители Samsung заявили следующее: «Samsung Electronics уделяет много внимания безопасности и приватности. Мы регулярно проверяем наши системы и если находим потенциальную уязвимость, тут же стараемся ее исправить».

Сейчас Samsung активно работает вместе с Нейдерменом над решением всех обнаруженных проблем.

Tizen — открытая операционная система на базе ядра Linux. Ее использует не только Samsung, но и Intel, а также ряд других компаний. Она собрала в себе ряд решений, ранее использовавшихся в MeeGo, LiMo и bada. Поддерживает аппаратные платформы на процессорах архитектур ARM и x86. Впервые ее представили 27 сентября 2011 года организации LiMo Foundation и Linux Foundation. 9 февраля был опубликован исходный код Tizen 2.3.

Автор: marks

Источник

Поделиться

* - обязательные к заполнению поля