Tizen OS от Samsung оказался раем для хакеров

Плохо, когда исследователь безопасности обнаруживает критический недостаток безопасности в вашем программном обеспечении. Но когда он находит около 40 и все они критические? Вы бы наверное подумали, лучше все переписать с нуля.

Это именно то, что происходит с Samsung с ее операционной системой Tizen, которую компания использует в ряде своих устройств, включая смартфоны, смарт-часы и смарт-телевизоры.

Израильский исследователь безопасности Амихай Нейдерман изложил многочисленные, ранее неизвестные уязвимости безопасности в Tizen в отчете, подробно описанном на саммите аналитиков по безопасности в Сент-Мартине. Нейдерман утверждает, что все дыры, которые он обнаружил, являются критическими и позволят хакерам дистанционно управлять устройством Samsung.

Некоторые, однако, хуже других. Особенно неприятная уязвимость позволит злоумышленнику взять контроль над приложением TizenStore - магазина приложений для Tizen - чтобы внедрить вредоносное программное обеспечение в устройство Tizen. Поскольку данное приложение может обращаться к любой части системы и изменять ее, злоумышленник, использующий эту уязвимость, будет иметь абсолютный и полный контроль над вашим устройством Tizen.

Нейдерман, который начал изучать безопасность Tizen после покупки смартфона Samsung в прошлом году, называет код данной ОС худшим из всех, каких он когда-либо видел: «Вы можете увидеть, что никто, кто понимает толк в безопасности, не проверял или не писал его». В интервью он предположил, что код писали стажеры – вчерашние студенты.

Нейдерман утверждает, что он связался с Samsung по поводу уязвимостей несколько месяцев назад, но не получил ничего, кроме автоматизированного шаблонного ответа. Тем не менее, Samsung сообщил СМИ, что теперь компания работает с Нейдерманом, чтобы «смягчить любые потенциальные уязвимости».

По данным Samsung, на Tizen с открытым исходным кодом было выпущено 50 миллионов устройств Samsung по состоянию на ноябрь 2016 года. Среди них смарт-часы Samsung Gear S3 и линейка смартфонов компании, которая недавно оказалась в центре внимания после того, как утечка WikiLeaks сообщила о средствах взлома ЦРУ, использующих эксплойт, который позволяет агентству прослушивать смартфоны Samsung.

Samsung имеет большие планы для Tizen. В скором времени компания перестанет выпускать смартфоны на базе ОС, но планирует использовать его на многих будущих устройствах интернета вещей. Однако, если отчет об уязвимостях подтвердится, то планы компании могут сильно измениться.