Israelische Experten haben 40 Zero-Day-Schwachstellen im Betriebssystem Tizen von Samsung gefunden

Published on April 05, 2017

Israelische Experten haben 40 Zero-Day-Schwachstellen im Betriebssystem Tizen von Samsung gefunden



    In den letzten Jahren hat die gesamte IT-Community die Aufmerksamkeit der US-amerikanischen National Security Agency (NSA) und der Central Intelligence Agency desselben Landes auf sich gezogen. Wie sich herausgestellt hat, engagieren sich beide Organisationen auch in ihrem eigenen Staat sehr aktiv für Cyber-Spionage. Dazu verwenden sie ausgefeilte Werkzeuge , Löcher im Schutz von Software und Hardware und im Allgemeinen ist dies alles möglich. Nun sind Spezialisten für Informationssicherheit bezüglich Hardware und Software einiger US-amerikanischer Unternehmen vorsichtig, da die Möglichkeit besteht, dass die Software der Geräte, die Cyberspies dort ablegen, Lücken aufweist.

    Für Scouts ist es jedoch nicht immer notwendig, solche Lücken in Software oder Hardware zu platzieren. Einige Hersteller machen es selbst, und Sie müssen nur eine Schwachstelle finden. Als Beispiel die Entwicklung der südkoreanischen Firma Samsung - das Betriebssystem Tizen. Israelische Cybersecurity-Experten von Equus Software haben 40 Zero-Day-Schwachstellen in diesem Betriebssystem entdeckt. Theoretisch gefährdet dies Millionen von Benutzern verschiedener Geräte von Samsung - Fernsehgeräten, Telefonen, Tablets, intelligenten Uhren und anderen Geräten.

    Samsung plant, allein in diesem Jahr mehr als 10 Millionen Geräte an Tizen OS nach Russland, Indien und Bangladesch zu liefern. Darüber hinaus wird das Unternehmen diese Softwareplattform für intelligente Haushaltsgeräte wie Waschmaschinen und Kühlschränke einsetzen. Der Witz "Kühlschrank knacken" wird so allmählich Realität.

    Fast alle erkannten Sicherheitsanfälligkeiten ermöglichen es einem Angreifer, ein gefährdetes Gerät aus der Ferne zu steuern. Ein an der Tizen-Studie beteiligter Experte sagt, dass alle in der Samsung-Software gefundenen "Löcher" gefährlich sind, aber eine davon ist so wichtig wie möglich. Dies betrifft die Tizenstore-Anwendung, den Anwendungskatalog von Samsung, ein Analogon des Google Play Store, von dem Benutzer von Tizen-Geräten zusätzliche Software herunterladen.

    Da TizenStore über den maximalen Zugriff auf das Gerät verfügt, kann ein Hacker, der über die "Lücke" in der Anwendung Bescheid weiß, fast alles mit dem Gerät tun, auf dem der Katalog installiert ist. Trotz der Tatsache, dass TizenStore die Authentifizierung verwendet, geben Experten an, dass es eine Möglichkeit gibt, die Kontrolle über das Gerät zu übernehmen, bevor der Authentifizierungsvorgang gestartet wird.



    Es ist erwähnenswert, dass dies eine der ersten groß angelegten Studien zu Tizen ist. Zuvor hatten Cybersecurity-Experten diesem Betriebssystem aufgrund seiner geringen Verbreitung keine allzu große Aufmerksamkeit gewidmet. Jetzt wirbt Samsung für Tizen, die Popularität des Betriebssystems steigt bzw. die Software-Plattform zieht nicht nur die Spezialisten für Informationssicherheit an, sondern auch die Cracker. Bei Equus Software entschied man sich für ein StudiumVor 8 Monaten, nachdem das Unternehmen mit diesem Betriebssystem einen intelligenten Fernseher von Samsung gekauft hatte.

    Anfänglich legte Samsung seinem Betriebssystem keine allzu große Bedeutung bei. So wurden die ersten Handys mit Tizen nur in Südafrika, Nepal und Indonesien verkauft. Wie bereits erwähnt, wird das südkoreanische Unternehmen nun seine Tizen-Geräte für Europäer und Amerikaner anbieten .

    Fast unmittelbar nach Beginn der OS-Studie entdeckten israelische Experten viele Probleme mit dem Code für dieses Produkt. Daher wurde beschlossen, mehrere Telefone bei Tizen zu kaufen, um sie zu analysieren. Nach Angaben des Projektteams enthält Tizen-Code viele Entwicklungen von anderen Samsung-Produkten, einschließlich Bada OSderen Entwicklung und Support eingestellt wird.

    Die meisten Sicherheitsanfälligkeiten sind jedoch neu, sie sind in den letzten Jahren in speziell für Tizen geschriebenem Code enthalten. Einige Probleme sind häufig Programmierfehler. Equus Software geht davon aus, dass das Unternehmen den Code nicht zu gründlich prüft und dem Thema Cybersecurity zu wenig Beachtung schenkt. Ein Nachteil des Codes verschiedener Softwareprodukte von Samsung ist die weit verbreitete Verwendung der problematischen Funktion Strcpy (), mit der die meisten modernen IT-Experten nicht arbeiten.

    Darüber hinaus verwenden Programmierer des Unternehmens die SSL-Verschlüsselung nur teilweise, und an den Stellen, an denen die Verschlüsselung besonders wichtig ist, wird sie nicht verwendet. "Sie treffen falsche Annahmen, wenn sie versuchen zu entscheiden, wo eine Verschlüsselung erforderlich ist", sagt der Sicherheitsexperte Amihai Neiderman.



    Nach der Kenntnis des Problems sagten Vertreter von Samsung: „Samsung Electronics legt großen Wert auf Sicherheit und Datenschutz. Wir überprüfen regelmäßig unsere Systeme und wenn wir eine potenzielle Schwachstelle finden, versuchen wir sofort, das Problem zu beheben. “

    Jetzt arbeitet Samsung aktiv mit Naderman zusammen, um alle gefundenen Probleme zu lösen.

    Tizen - ein offenes Betriebssystembasierend auf dem Linux Kernel. Es verwendet nicht nur Samsung, sondern auch Intel sowie eine Reihe anderer Unternehmen. Sie sammelte eine Reihe von Lösungen, die zuvor in MeeGo, LiMo und Bada verwendet wurden. Unterstützt Hardwareplattformen auf ARM- und x86-Prozessoren. Es wurde erstmals am 27. September 2011 von der LiMo Foundation und der Linux Foundation vorgestellt. Am 9. Februar wurde der Quellcode Tizen 2.3 veröffentlicht.