Samsungs Linux-baserede Tizen OS er et sikkerheds mareridt

Samsung har arbejdet på Tizen i de sidste par år for at være en erstatning for Android. Det ser imidlertid ud til, at det arbejde, de har gjort, er meget dårligt udført.

Hvad er Tizen?

Tizen er en Linux-baseret open source mobil operativsystem Det har eksisteret i 5 år. Omkring 2013 begyndte Samsung alvorligt at udvikle sig i Tizen. Målet var at skabe et levedygtigt alternativ til Android.

Samsung ønsker et Android-alternativ på grund af Googles bully-lignende forhold til enheds beslutningstagere. Mens Android kan være gratis og open source, er Google apps, der kommer på Android-enheder (og kunderne ikke kan leve uden), lukket kilde. Hvis enhedsproducenter ønsker adgang til Google apps, de skal være med i Open Handset Alliance. Medlemmerne af OHA'en er "kontraktmæssigt forbudt at bygge ikke-godkendte Google-enheder".

Faktisk er det, hvad Google havde at sige i en blogindlæg:

Mens Android forbliver gratis for nogen at bruge, som de gerne vil, kan kun Android-kompatible enheder drage fordel af det fulde Android-økosystem. Ved at blive medlem af Open Handset Alliance bidrager hvert medlem til og bygger en Android-platform - ikke en masse uforenelige versioner.

Så i det væsentlige ønsker Samsung en måde at fortsætte med at tjene penge, hvis de falder ud med Google, eller Google går bare væk.

Masser af sikkerhedsproblemer

Mens Samsung måske har gode hensigter, har de en hel del arbejde foran dem. For nylig, Israels forsker Amihai Neiderman afslørede at Tizen er fuld af sikkerhedshuller. Faktisk afslørede han, at han havde opdaget 40 tidligere ukendte sårbarheder, der ville tillade en hacker at overtage og Tizen-powered enhed.

Neidermen udtalte, "Det kan være den værste kode jeg nogensinde har set. Alt du kan gøre forkert der, de gør det. "

En del af Tizen-kodebasen er taget fra flere tidligere Samsung-projekter, herunder et tidligere mobiloperativsystem ved navn Bada. Imidlertid er det meste af den dårlige kode skrevet i de sidste to år og indeholder fejl, der var almindelige for tyve år siden.

Et andet af de opdagede problemer var, at Tizers indbyggede appbutik fungerede på det højeste privilegiumniveau. Dette ville tillade en hacker at installere ondsindet kode via opdateringsmekanismen. Mens Tizen har et autentificeringsprogram, der er bygget int for at forhindre dette, kunne Neidermen finde en anden sårbarhed, der gav ham kontrol for at tilsidesætte godkendelsessystemet.

Der var også et problem med, hvordan kommunikation blev sikret. Nogle gange blev SSL brugt og nogle gange ikke. Ofte blev data overført uden beskyttelse.

Hvor mange påvirket?

Heldigvis har Tizen kun set en lille udbredelse hidtil. Der er i øjeblikket 30 millioner smarte tv'er, der drives af Tizen, samt en række telefoner og smartwatches. De fleste telefoner og ure blev solgt i Indien og Rusland. På CES 2017 afslørede Samsung planer om at lancere en række Tizen-powered Internet of Things (IoT) enheder, herunder Family Hub 2.0 smart refrigerator og Intelligent Washing machine. Tizen er også tilgængelig for Raspberry Pi.

IoT-sikkerhedsproblemer (og en løsning?)

Billede høflighed: Klossner

Da IoT bliver mere avanceret og mere tæt vævet i det daglige liv, skal sikkerhed være en prioritet. Desværre er tusindvis af enheder åbne for angreb. Tilbage i 2013, en hvid hat hacker navngivet Billy Rios opdagede at internetforbundne medicinsk udstyr på hospitaler, såsom infusionspumper eller hjerteovervågninger var åbne for angreb fra hackere. I et tilfælde blev en patients personlige oplysninger opdaget på harddisken fra en blodgasanalysator.

Udover identitetstyveri er der også bekymring for, at hackere kunne slå usikrede IoT-enheder ind i deres eget botnetværk. En hacker kunne bruge dette lavdrevne botnetværk til at nedlægge websteder med nægtelse af serviceangreb, dybest set overvældende servere med for meget trafik.

Tech journalist Bob Cringely har en løsning til truslen om en undead IoT botnet. Han foreslår at oprette en separat protokol, der gør det muligt for IoT-enheder at adressere hinanden, men gør dem ude af stand til at forstyrre eller endda se almindelig internettrafik. I grund og grund vil informationspakker for at genere IoT-enheder og det regelmæssige internet passere hinanden, uvidende om eksistensen af ​​hinanden. Der ville være et par gateways mellem de to grupper for at give dem mulighed for at kommunikere og dele information, men ikke gøre noget ondsindet.

Afsluttende tanker

For at omskrive Full Metal Jacket har Samsung en stor fejl i deres hænder. Deres Android morder er et hacker paradis.

Det lader til, at Samsung sender blandede signaler. De positionerer Tizen for at være en Android-udskiftning på telefoner, ure og udover. Men på den anden side er deres seneste version fuld af sårbarheder og dårligt skrevet kode. Det virker som om de var så vant til at nogen andre skabte operativsystemet, at de ikke kunne levere kompetent kode.

Spørgsmålet er: Er de virkelig interesserede i at levere et operativsystem, eller er Tizen bare nødt til at holde fast i Google's hoved?

Personligt vil jeg gerne give Tizen en prøve, fordi jeg kan lide at spille med nye ting, men jeg sætter det på vent et stykke tid, indtil de får deres kodeproblemer rettet.

Har du brugt Tizen? Hvad synes du om denne nyhed?

Hvis du fandt denne artikel interessant, kan du dele den med dine venner og familie på dine foretrukne sociale medier.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.