Samsung Tizen pieno di vulnerabilità di sicurezza: decine i bug scoperti [Agg. con posizione di Samsung]
Un ricercatore di sicurezza ha detto di Tizen: "Potrebbe essere il peggior codice che abbia mai visto". Sul sistema operativo di Samsung sarebbero infatti presenti decine di vulnerabilità di sicurezza
di Nino Grasso pubblicata il 06 Aprile 2017, alle 17:01 nel canale Sistemi OperativiSamsung
Tizen, il sistema operativo open-source che Samsung ha sviluppato e adottato su tutta una serie di dispositivi elettronici (IoT, wearable, Smart TV) sembrerebbe essere costellato da una serie di bug di sicurezza. A dirlo è il ricercatore Amihai Neiderman rivolgendosi a Motherboard in occasione del Security Analyst Summit di Kaspersky Lab. Secondo l'esperto il codice di Tizen "potrebbe essere il peggiore mai visto. Qualsiasi cosa si possa sbagliare loro l'hanno implementata nel modo sbagliato".
Samsung sviluppa Tizen ormai da parecchi anni. Il progetto nasceva dalle menti di Intel e Nokia, per poi essere congiunto a Bada di Samsung nel 2013. Come Android si fonda sul kernel Linux con un numero di personalizzazioni di varia natura eseguite su di esso. Per le app, Tizen utilizza i linguaggi di programmazione C++ e HTML5 e secondo Neiderman gran parte delle vulnerabilità sono state inserite proprio da Samsung e sono presenti nelle aggiunte al codice effettuate più di recente.
Gli errori maggiormente presenti sono buffer overflow e sono dovuti all'uso improprio della funzione strcpy() in C. Secondo l'esperto si tratta di una funzione "pericolosa" da usare a tal punto che molti sviluppatori cercano di aggirarla utilizzando funzioni alternative. Così non ha fatto Samsung che invece "l'ha usata ovunque". Anche l'uso degli algoritmi di sicurezza SSL è sommario, con alcuni dati sensibili che vengono trasferiti addirittura in chiaro.
Al momento Tizen viene utilizzato su alcuni dispositivi smart con Samsung che ha cercato a più riprese di proporlo anche su smartphone. Di fatto ultimamente alcuni ricercatori hanno dimostrato un hack divulgato attraverso un segnale DVB-T contraffatto che può attecchire sulle smart TV coreane, e ci sono stati anche altri casi in passato in cui i televisori Samsung sono stati presi di mira da ricercatori (e dalla CIA) che ne segnalavano i problemi di sicurezza.
Alcune delle vulnerabilità discusse da Neiderman sono, secondo l'esperto, vulnerabili ad exploit che possono essere eseguiti da remoto, e uno di questi nello specifico può attecchire sullo store ufficiale TizenStore che dispone dei privilegi più elevati forniti dal sistema operativo. Attaccare questa parte del sistema potrebbe, in altre parole, garantire un accesso profondissimo alle componenti cruciali del dispositivo.
Samsung ha già risposto a Neiderman suggerendo una collaborazione diretta per estinguere le vulnerabilità sul sistema operativo.
Aggiornamento: Samsung ha anche rilasciato una nota con la propria posizione sull'argomento:
"La sicurezza delle informazioni e dati personali dei nostri clienti è una delle nostre priorità. I nostri TV sono progettati tenendo sempre in considerazione la protezione della privacy e includono certe caratteristiche di sicurezza volte a proteggere i TV dagli attacchi degli hacker. Se in un dato momento individuiamo una potenziale debolezza, ci adoperiamo subito per capirne la causa e risolvere il problema.
I consumatori possono anche adottare diversi accorgimenti per assicurarsi che i loro TV siano protetti, mantenendo i loro software e app aggiornati costantemente, accettando gli aggiornamenti del firmware e adottando le giuste precauzioni al momento di cliccare su un link non sicuro nell'interfaccia dello smart TV. Invitiamo tutti i nostri clienti a contattarci direttamente al numero 800-7267864 nel caso avessero necessità di ulteriori informazioni."
7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infohttps://www.dvb.org/news/dvb-fixes-smart-tv-security
Ovviamente il fix va applicato da tutti, altrimenti la soluzione rimane sulla carta
It is now up to broadcasters and TV manufacturers to implement the new features of TS 102 809 (currently available as DVB BlueBook A137) to protect the privacy of the end-user.
Adesso si capisce perché basta una touchwiz per appesantire anche un top di gamma, è scritta col
EDIT: "scritto da uno studente". Si vede che gli stagisti costavano troppo...
Adesso si capisce perché basta una touchwiz per appesantire anche un top di gamma, è scritta col
Il codice scritto da altri è "da principianti" per definizione.
Il problema di base è la mentalità della dirigenza di Samsung riguardo lo sviluppo del software.
Il problema di base è la mentalità della dirigenza di Samsung riguardo lo sviluppo del software.
Infatti, se non risparmiano da qualche parte poi come fanno a spendere 10.6 miliardi in pubblicità
E si suppone che a scrivere un SO ci mettano i migliori programmatori, figurarsi gli altri...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".