Logo ja.androidermagazine.com
Logo ja.androidermagazine.com
» ニュース
ニュース

サムスンのtizenは脆弱性に満ちていると言われています。 スマートウォッチは安全ですか?

サムスンのtizenは脆弱性に満ちていると言われています。 スマートウォッチは安全ですか?
Anonim

イスラエルのセキュリティ研究者であるEquus Softwareの Amihai Neiderman と話すと、Motherboardは、オペレーティングシステムとしてTizenを使用するすべてのSamsung TV、時計、または電話のリモート実行およびハッキングを可能にする40の未報告のセキュリティ脆弱性があると語っています。 より深刻なのは、これらのエクスプロイトの多くの背後にある方法と理由に関するいくつかの主張です。

これは私が見た中で最悪のコードかもしれません。

サムスンは、スマートフォンやタブレットでAndroidをTizenに置き換えることを考えていないかもしれませんが、現在のエコシステムは大々的に拡大しようとしています。 スマート冷蔵庫は、誰かがあなたのメールをハッキングするまで、素晴らしいアイデアのように聞こえます。

Neiderman氏はMotherboardに語った。 そこであなたが間違っていることは何でもできます。 セキュリティを理解している人は誰もこのコードを見たり書いたりしていないことがわかります。 それは、学部生を連れて、彼にあなたのソフトウェアをプログラムさせるようなものです。

大規模なソフトウェアプロジェクトには、バグやエクスプロイトがかなり含まれています。 一部の人は他の人よりも深刻ですが、ほとんどの研究者は、Android、iOS、およびWindowsに焦点を当てているのと同じ方法でTizenを検討していません。 これは主に、SamsungがTizenを搭載した携帯電話を販売する可能性のあるGalaxy S8携帯電話を1週間でさらに販売するためです。 しかし、それは私たちの多くが現在手首に持っているGear S3スマートウォッチを含むサムスンの成功した製品ラインのいくつかを見落としています。 Neidermanは、SamsungのTizenの開発チームに向けて真剣に取り組んでいます。

Tizenコードベースの多くは古く、Samsungが廃止した以前の携帯電話オペレーティングシステムであるBadaを含む、Samsungの以前のコーディングプロジェクトから借用しています。

しかし、彼が発見した脆弱性のほとんどは、実際に過去2年以内にTizen専用に作成された新しいコードにありました。 それらの多くは、プログラマーが20年前に犯した過ちの一種であり、サムスンにはそのような欠陥を防ぎ、キャッチするための基本的なコード開発とレビューのプラクティスが欠けていることを示しています。

これはいくつかの理由で特に心配です。 まず、SamsungがAndroidに追加するコードには、オープンソースではないため、ピアレビュープロセスがありません。 主張されているように、Samsungがコーディングとレビューのテクニックに関して欠けている場合、同じ種類の間違いがAndroidポートフォリオにも豊富にある可能性があります。 たとえそうでなくても、Samsung Gearファミリーの時計はかなりの数のAndroidデバイスに接続されており、適切なツールと少しのノウハウを持っている人に公開される可能性のある多くの情報を共有しています。

攻撃者は、TizenStoreアプリケーションを介して好きなソフトウェアをインストールできます。

Samsung Payを介したトークン化された財務データでさえ、支払い端末に送信したり銀行に戻ったりするのに十分な時間であっても、ある程度のレベルで時計に保存する必要があります。 ありがたいことに、保存されるのは、暗号化を解除するキーとトークンの目的への参照がなければ、ほとんど価値がない方法です。

これはさておき、最大の問題はTizenアプリケーションストアとインストーラーの問題です。

Neidermanが発見したセキュリティホールの1つが特に重要でした。 これには、サムスンのTizenStoreアプリ(サムスンのGoogle Playストアバージョン)が含まれます。これは、アプリとソフトウェアの更新をTizenデバイスに配信します。 Neiderman氏によると、その設計上の欠陥により、Samsung TVに悪意のあるコードを配信するためにソフトウェアをハイジャックすることができました。

これはショーストッパーです。 TizenStoreアプリは絶対的なシステム権限で実行され、ユーザーからの二次入力なしで何でもインストールして実行できます。 このプロセスをハイジャックし、それを使用してリモートアクセス用のツールをインストールし、システム権限を付与することは、攻撃者が好きなことをできることを意味します。 TizenStoreへのアクセスまたはTizenアプリケーションをインストールする別の方法を備えたすべてのデバイスは、Samsung Gearファミリーを含め、潜在的に脆弱です。

時計やテレビを捨てることはお勧めしません。 サムスンに連絡を取りました。サムスンは、すべてを形にするためにNeidermanと協力していることをマザーボードに伝え、何かが聞こえたら更新します。

とりあえず、Tizen搭載のガジェットを使用しているときに、WindowsコンピューターでAndroidアプリケーションをサイドロードするときと同じ注意を払ってください。

ニュース

エディタの選択