Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
Программа Memo Label 4x4 «Ценники и этикетки» предназначена для создания разнообразных ценников, этикеток, наклеек и т.д...
NetAnimate — программа для индикации сетевой активности в трее.Назначение и особенности:программа предназначена для опер...
Программное обеспечение "Гидравлические расчеты тепловых сетей" (далее "программа ГРТС") — это программа, которая выполн...
OSzone.net Новости IT Операционную систему Tizen называли уязвимой RSS

Операционную систему Tizen называли уязвимой

Текущий рейтинг: 5 (проголосовало 6)
 Посетителей: 464 | Просмотров: 491 (сегодня 1)  Шрифт: - +

Операционная система Samsung Tizen с открытым исходным кодом используется в некоторых устройствах интернета вещей и иногда позиционируется как конкурент Android. Израильский специалист по информационной безопасности Амихай Нидерман уверен, что для повышения конкурентоспособности ей нужно значительно усилить безопасность.

Samsung работает над этой системой уже много лет. Начали этот проект компании Intel и Nokia, а Samsung включила сюда код своей операционной системы под названием Bada в 2013 году. Как и Android, система создана на основе ядра Linux, поверх которого работает открытое программное обеспечение. Разработка Tizen ведётся с применением языка C++ и HTML5.

Нидерман был участником саммита лаборатории Касперского по информационной безопасности и высказался относительно состояния кода Tizen. По его словам, система может обладать худшим когда-либо виденным им кодом, разработчики допустили в нём все возможные ошибки.

Значительная часть кода взята из предыдущих проектов Intel и Samsung, однако большая часть ошибок была найдена в новом коде. Часто встречается проблема переполнения буфера из-за неправильного использования функции strcry(), опасности которые хорошо известны программистам на С и С++. Эти опасности вынуждают многих разработчиков использовать альтернативные функции, но не в случае с Tizen, где она встречается повсюду. Кроме того, сказано о непостоянном использовании шифрования SSL, что подвергает пользовательские данные риску.

Сейчас Tizen чаще всего используют в смарт-устройствах, хотя Samsung не отказалась от идеи создавать на ней смартфоны. Недавно WikiLeaks опубликовала данные о взломах телевизоров южнокорейского производителя со стороны ЦРУ посредством эксплоита на флешке. На прошлой неделе было рассказано о другой атаке на Smart TV Samsung, где использовались вредоносные команды в телесигнале. Нидерман также является обладателем телевизора под управлением Tizen, почему и начал исследовать её.

Если в описанной атаке ЦРУ нужен личный доступ к устройству, то исследователь нашел возможность дистанционных атак посредством примерно 40 уязвимостей нулевого дня. В частности, уязвимым оказался магазин приложений TizenStore. Здесь он нашёл уязвимость в приложении, использование которой компрометирует всё устройство, не только телевизоры, но и смартфоны и смарт-часы.

Попытавшись связаться с представителями Samsung, Нидерман не добрался дальше автоответчика. После публичного описания уязвимостей Samsung заявила, что готова сотрудничать с исследователем в деле закрытия этих уязвимости. Для таких ситуаций у компании есть программа поиска багов SmartTV Bug Bounty.

Автор: Алексей Алтухов  •  Иcточник: arstechnica.com  •  Опубликована: 05.04.2017
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.