années

Le système d'exploitation Tizen OS basé sur Linux de Samsung est un cauchemar pour la sécurité

Samsung travaille sur Tizen depuis quelques années pour remplacer Android. Cependant, il semble que le travail qu'ils ont fait soit très mal fait.

Qu'est-ce que Tizen?

Tizen est un système basé sur Linux système d'exploitation mobile open source qui existe depuis 5 ans. Vers 2013, Samsung a véritablement commencé le développement à Tizen. L'objectif était de créer une alternative viable à Android.

Samsung veut une alternative Android en raison de la relation de Google avec les fabricants d'appareils. Bien qu'Android puisse être gratuit et open source, les applications Google fournies sur les appareils Android (et les clients ne peuvent pas s'en passer) sont à code source fermé. Si les fabricants d'appareils souhaitent accéder aux applications Google, ils doivent rejoindre l'Open Handset Alliance. Il est "contractuellement interdit aux membres de l'OHA de créer des appareils non approuvés par Google".

En fait, c'est ce que Google avait à dire dans un article de ce blog:

Bien qu'Android reste gratuit pour quiconque puisse l'utiliser comme il le souhaite, seuls les appareils compatibles Android bénéficient de l'ensemble de l'écosystème Android. En rejoignant l'Open Handset Alliance, chaque membre contribue à et construit une plate-forme Android, pas un tas de versions incompatibles.

Donc, essentiellement, Samsung veut un moyen de continuer à gagner de l'argent s'ils se disputent avec Google ou si Google disparaît.

Beaucoup de problèmes de sécurité

Bien que Samsung puisse avoir de bonnes intentions, ils ont un peu de travail devant eux. Récemment, Le chercheur israélien Amihai Neiderman a révélé que Tizen est plein de failles de sécurité. En fait, il a révélé qu'il avait découvert 40 vulnérabilités jusque-là inconnues qui permettraient à un pirate informatique de prendre le contrôle d'un appareil alimenté par Tizen.

Neidermen a déclaré, «C'est peut-être le pire code que j'aie jamais vu. Tout ce que vous pouvez faire de mal là-bas, ils le font.

Une bonne partie de la base de code Tizen est tirée de plusieurs projets Samsung précédents, y compris un système d'exploitation mobile précédent nommé Bada. Cependant, la plupart des mauvais codes ont été écrits au cours des deux dernières années et contiennent des erreurs qui étaient courantes il y a vingt ans.

Un autre des problèmes découverts était que l'App Store intégré de Tizen fonctionnait au plus haut niveau de privilège. Cela permettrait à un pirate de déployer du code malveillant via le mécanisme de mise à jour. Alors que Tizen a un programme d'authentification intégré pour empêcher cela, Neidermen a pu trouver une autre vulnérabilité qui lui a donné le contrôle pour remplacer le système d'authentification.

Il y avait également un problème avec la façon dont les communications étaient sécurisées. Parfois, SSL était utilisé et parfois non. Souvent, les données étaient transférées sans protection.

Combien touchés?

Heureusement, Tizen n'a connu qu'un petit déploiement jusqu'à présent. Il existe actuellement 30 millions de téléviseurs intelligents alimentés par Tizen, ainsi qu'un certain nombre de téléphones et de montres intelligentes. La plupart des téléphones et des montres ont été vendus en Inde et en Russie. Au CES 2017, Samsung a annoncé son intention de lancer une série d'appareils Internet des objets (IoT) alimentés par Tizen, y compris le réfrigérateur intelligent Family Hub 2.0 et la machine à laver intelligente. Tizen est également disponible pour Raspberry PI.

Problèmes de sécurité IoT (et une solution?)

Image courtoisie: Klossner

Alors que l'IdO devient plus avancé et plus étroitement intégré à la vie quotidienne, la sécurité doit devenir une priorité. Malheureusement, des milliers d'appareils sont ouverts aux attaques. En 2013, un hacker au chapeau blanc nommé Billy Rios a découvert que les appareils médicaux connectés à Internet dans les hôpitaux, comme les pompes à perfusion ou les moniteurs cardiaques, étaient exposés aux attaques des pirates. Dans un cas, les renseignements personnels d'un patient ont été découverts sur le disque dur d'un analyseur des gaz du sang.

Outre le vol d'identité, on craint également que les pirates informatiques ne transforment les appareils IoT non sécurisés en leur propre réseau de robots. Un pirate informatique pourrait utiliser ce réseau de robots de faible puissance pour supprimer des sites Web avec des attaques par déni de service, écrasant essentiellement les serveurs avec trop de trafic.

Journaliste technique Bob Cringely a une solution à la menace d'un botnet IoT mort-vivant. Il suggère de créer un protocole séparé qui permet aux appareils IoT de s'adresser les uns aux autres, mais les rend incapables d'interférer avec le trafic Internet ordinaire, voire de le voir. Fondamentalement, les paquets d'informations pour les appareils IoT dérangeants et l'Internet ordinaire se transmettraient, ignorant l'existence l'un de l'autre. Il y aurait quelques passerelles entre les deux groupes pour leur permettre de communiquer et de partager des informations, mais ne rien faire de malveillant.

Réflexions finales

Pour paraphraser Full Metal Jacket, Samsung a un dysfonctionnement majeur sur les mains. Leur tueur Android est le paradis des hackers.

Il semble que Samsung envoie des signaux mixtes. Ils positionnent Tizen comme un remplaçant d'Android sur les téléphones, les montres et au-delà. Mais d'un autre côté, leur dernière version est pleine de vulnérabilités et de code mal écrit. Il semble qu'ils se soient tellement habitués à ce que quelqu'un d'autre crée le système d'exploitation qu'ils ne puissent pas fournir de code compétent.

La question est: sont-ils vraiment intéressés par la livraison d'un système d'exploitation ou Tizen est-il simplement censé être un bâton à tenir sur la tête de Google?

Personnellement, j'aimerais essayer Tizen parce que j'aime jouer avec de nouvelles choses, mais je vais mettre cela en attente pendant un moment jusqu'à ce qu'ils résolvent leurs problèmes de code.

Avez-vous utilisé Tizen? Que pensez-vous de cette nouvelle?

Si vous avez trouvé cet article intéressant, partagez-le avec vos amis et votre famille sur vos sites de médias sociaux préférés.

Source