Samsung Tizen pieno di vulnerabilità di sicurezza: decine i bug scoperti [Agg. con posizione di Samsung]

Samsung Tizen pieno di vulnerabilità di sicurezza: decine i bug scoperti [Agg. con posizione di Samsung]

Un ricercatore di sicurezza ha detto di Tizen: "Potrebbe essere il peggior codice che abbia mai visto". Sul sistema operativo di Samsung sarebbero infatti presenti decine di vulnerabilità di sicurezza

di Nino Grasso pubblicata il , alle 17:01 nel canale Sistemi Operativi
Samsung
 

Tizen, il sistema operativo open-source che Samsung ha sviluppato e adottato su tutta una serie di dispositivi elettronici (IoT, wearable, Smart TV) sembrerebbe essere costellato da una serie di bug di sicurezza. A dirlo è il ricercatore Amihai Neiderman rivolgendosi a Motherboard in occasione del Security Analyst Summit di Kaspersky Lab. Secondo l'esperto il codice di Tizen "potrebbe essere il peggiore mai visto. Qualsiasi cosa si possa sbagliare loro l'hanno implementata nel modo sbagliato".

Samsung sviluppa Tizen ormai da parecchi anni. Il progetto nasceva dalle menti di Intel e Nokia, per poi essere congiunto a Bada di Samsung nel 2013. Come Android si fonda sul kernel Linux con un numero di personalizzazioni di varia natura eseguite su di esso. Per le app, Tizen utilizza i linguaggi di programmazione C++ e HTML5 e secondo Neiderman gran parte delle vulnerabilità sono state inserite proprio da Samsung e sono presenti nelle aggiunte al codice effettuate più di recente.

Gli errori maggiormente presenti sono buffer overflow e sono dovuti all'uso improprio della funzione strcpy() in C. Secondo l'esperto si tratta di una funzione "pericolosa" da usare a tal punto che molti sviluppatori cercano di aggirarla utilizzando funzioni alternative. Così non ha fatto Samsung che invece "l'ha usata ovunque". Anche l'uso degli algoritmi di sicurezza SSL è sommario, con alcuni dati sensibili che vengono trasferiti addirittura in chiaro.

Al momento Tizen viene utilizzato su alcuni dispositivi smart con Samsung che ha cercato a più riprese di proporlo anche su smartphone. Di fatto ultimamente alcuni ricercatori hanno dimostrato un hack divulgato attraverso un segnale DVB-T contraffatto che può attecchire sulle smart TV coreane, e ci sono stati anche altri casi in passato in cui i televisori Samsung sono stati presi di mira da ricercatori (e dalla CIA) che ne segnalavano i problemi di sicurezza.

Alcune delle vulnerabilità discusse da Neiderman sono, secondo l'esperto, vulnerabili ad exploit che possono essere eseguiti da remoto, e uno di questi nello specifico può attecchire sullo store ufficiale TizenStore che dispone dei privilegi più elevati forniti dal sistema operativo. Attaccare questa parte del sistema potrebbe, in altre parole, garantire un accesso profondissimo alle componenti cruciali del dispositivo.

Samsung ha già risposto a Neiderman suggerendo una collaborazione diretta per estinguere le vulnerabilità sul sistema operativo.

Aggiornamento: Samsung ha anche rilasciato una nota con la propria posizione sull'argomento:

"La sicurezza delle informazioni e dati personali dei nostri clienti è una delle nostre priorità. I nostri TV sono progettati tenendo sempre in considerazione la protezione della privacy e includono certe caratteristiche di sicurezza volte a proteggere i TV dagli attacchi degli hacker. Se in un dato momento individuiamo una potenziale debolezza, ci adoperiamo subito per capirne la causa e risolvere il problema.

I consumatori possono anche adottare diversi accorgimenti per assicurarsi che i loro TV siano protetti, mantenendo i loro software e app aggiornati costantemente, accettando gli aggiornamenti del firmware e adottando le giuste precauzioni al momento di cliccare su un link non sicuro nell'interfaccia dello smart TV. Invitiamo tutti i nostri clienti a contattarci direttamente al numero 800-7267864 nel caso avessero necessità di ulteriori informazioni."

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ercolino06 Aprile 2017, 18:27 #1
DVB Fixes Smart TV Security

https://www.dvb.org/news/dvb-fixes-smart-tv-security

Ovviamente il fix va applicato da tutti, altrimenti la soluzione rimane sulla carta


It is now up to broadcasters and TV manufacturers to implement the new features of TS 102 809 (currently available as DVB BlueBook A137) to protect the privacy of the end-user.
sbaffo06 Aprile 2017, 19:48 #2
su un altro sito avevo letto che il ricercatore definiva il codice aggiunto da samsung come "scritto da principianti". La piaga degli stagisti colpisce anche in Korea?
Adesso si capisce perché basta una touchwiz per appesantire anche un top di gamma, è scritta col

EDIT: "scritto da uno studente". Si vede che gli stagisti costavano troppo...
Avatar006 Aprile 2017, 21:49 #3
Originariamente inviato da: sbaffo
su un altro sito avevo letto che il ricercatore definiva il codice aggiunto da samsung come "scritto da principianti". La piaga degli stagisti colpisce anche in Korea?
Adesso si capisce perché basta una touchwiz per appesantire anche un top di gamma, è scritta col


Il codice scritto da altri è "da principianti" per definizione.
Ginopilot07 Aprile 2017, 08:11 #4
Samsung non ha mai curato software ed ergonomia. Vende bene quindi non vedo perche' dovrebbe iniziare a farlo oggi.
LMCH07 Aprile 2017, 10:38 #5
I problemi di Tizen erano noti da anni, ne avevo parlato pure io in altre discussioni.
Il problema di base è la mentalità della dirigenza di Samsung riguardo lo sviluppo del software.
sbaffo07 Aprile 2017, 10:53 #6
Originariamente inviato da: LMCH
I problemi di Tizen erano noti da anni, ne avevo parlato pure io in altre discussioni.
Il problema di base è la mentalità della dirigenza di Samsung riguardo lo sviluppo del software.

Infatti, se non risparmiano da qualche parte poi come fanno a spendere 10.6 miliardi in pubblicità

E si suppone che a scrivere un SO ci mettano i migliori programmatori, figurarsi gli altri...
fraquar07 Aprile 2017, 11:41 #7
Il software lo dovrebbero scrivere aziende che hanno il core business nello sviluppo.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^