Samsungs Tizen vol beveiligingsproblemen

Door: Raymon Mens - 14 reacties

Als je de exploderende Galaxy Note 7 door de vingers ziet, maakt Samsung best degelijke hardware. Software gaat het Koreaanse bedrijf een stuk minder goed af, blijkt uit een analyse van Samsungs Tizen OS, dat op smart­watches en TV’s van het bedrijf staat.

Onderzoeker Amihai Neiderman windt er geen doekjes om: Tizen heeft “de slechtste code” die hij ooit heeft gezien. Hij vond 40 zero day-kwetsbaarheden in de laatste versie van het besturingssysteem.

Apparaten op afstand te hacken

De onderzoeker zegt in een interview met Motherboard dat kwaadwillenden apparaten die op Tizen draaien eenvoudig op afstand kunnen hacken, fysieke toegang is niet nodig. Neiderman vermoedt dat niemand met verstand van zaken bij de code betrokken is. Alles wat fout kon gaan, is ook fout gegaan.

“Het is alsof een stel eerstejaars studenten de software heeft gemaakt.”

tizen tv 16x9
Samsung Tizen draait op televisies, koelkasten en smartwatches van het bedrijf.

De grooste fouten zitten in de Tizen Store, de app-winkel voor het systeem. Deze controleert apps onvoldoende, waardoor willekeurige applicaties uitgevoerd kunnen worden. Een ander voorbeeld is het gebruik van de functie strcpy() in de C-programmeertaal. Veel programmeurs gebruiken deze niet omdat er snel buffer overflows mee veroorzaakt kunnen worden, maar Tizen zit er vol mee. Samsungs OS gebruikt SSL ook niet consistent, waardoor gevoelige data onversleuteld wordt verstuurd.

Tizen als Android-vervanger

Tizen is open source en wordt door Samsung vooral gebruikt als vervanger voor Android, maar in het verleden hebben Intel en Nokia ook meegewerkt aan de ontwikkeling van het systeem. Volgens de onderzoeker is het een verzameling van oude code, aangevuld met nieuwe code van Samsung die erg slecht geschreven is.

Vooral het gebruik op Smart TV’s baart ons zorgen. Vorige maand hoorden we dat de CIA microfoons en mogelijk camera’s in televisies van Samsung kon aftappen en afgelopen week kwam in het nieuws dat door kwaadaardige code in het televisiesignaal te stoppen, bepaalde Samsung TV’s op afstand overgenomen konden worden.

tizen koelkast 16x9
Een Samsung-koelkast met Tizen.

Samsung gebruikt Tizen ook in een aantal telefoons voor ontwikkelingslanden, maar op telefoons voor de Europese markt wordt Android gebruikt. Ook dat is niet altijd even veilig, maar een stuk veiliger dan Tizen. De onderzoeker presenteerde zijn bevindingen tijdens de Security Analyst Summit van Kaspersky en zegt contact te hebben met Samsung. Ons advies: apparaat met Tizen in huis? Geen toegang tot internet geven.

Reacties

14 reacties
  • Profielfoto
    koolenboer

    “Ontwikkelingsladen”?
    En ja, programmeren is een vak….

  • Profielfoto
    SunKeeper

    Hoe gaat het eigenlijk bij Mickeysoft? Al een tijdje niets meer gehoord…:idea:

  • Profielfoto
    GoeieDag

    Bleef het maar bij “beveiligingsproblemen”: dat Tizen crasht regelmatig op mijn TV. Wat een bagger zooi.

  • Profielfoto
    Shmoo

    Zou het bedrijf niet eens moeten stoppen met die plastic oogende Japanse/Koreaanse vrouwen in hun productpresentaties wanneer je waarschijnlijk 60% van je omzet op een ander continent haalt.

    Het zal wel een cultuur dingetje zijn …

    .

  • Profielfoto
    polansky

    Oh heerlijk lekker roddelnieuws, dat doet de Apple gebruiker goed!
    Mmmmm zo fijn om jezelf telkens weer op de borst te kloppen.

    Dit nieuws klinkt als toch als een geil verhaaltje, om van te smullen…. zo lekker.

  • Profielfoto
    rene098

    Fijn, heb ik gisteren net zo’n ding besteld…;-)

  • Profielfoto
    Zakske

    Hoe gaat het eigenlijk bij Mickeysoft?

    Dat is tegenwoordig veiliger dan Mac OS X / macOS.:shock:

  • Profielfoto
    Arjan E.

    Oh heerlijk lekker roddelnieuws, dat doet de Apple gebruiker goed!
    Mmmmm zo fijn om jezelf telkens weer op de borst te kloppen.

    Dit nieuws klinkt als toch als een geil verhaaltje, om van te smullen…. zo lekker.

    Hmmm klinkt misschien negatief, maar Polansky heeft hier een punt, want wat is de relatie met Apple in dit geheel? Helemaal niets!

    Als ik in een zoekmachine “one more thing” intik, dan verschijnen er termen als “Apple nieuws” en ” de grootste Apple community van Nederland en België”, en vervolgens krijgen we een bericht voorgeschoteld wat totaal NIETS met Apple te maken heeft.

    Dan beginnen er bij mij toch termen in mijn hoofd te spelen als: “schoenmaker blijf bij je leest” en “verbeter de wereld, begin bij je zelf”

    Elke fabrikant kent bugs en exploits, dit zal je altijd houden, maar als ik geïnteresseerd was in Samsung tizen, dan had ik het wel opgezocht op een Samsung of algemeen forum.

    Just saying;-)

  • Profielfoto
    KarelWillem

    De relatie is dat er in vele honderdduizenden huiskamers in Nederland Samsung-producten staan. Televisies, smartphones en smartwatches zijn een paar voorbeelden, die in heel veel gevallen dus gekoppeld of gecombineerd zijn met Apple producten als Apple TV, Macs, iPhones en iPads.

    Het is meer dan een zijdelingse link dus.

  • Profielfoto
    Arjan E.

    De relatie is dat er in vele honderdduizenden huiskamers in Nederland Samsung-producten staan. Televisies, smartphones en smartwatches zijn een paar voorbeelden, die in heel veel gevallen dus gekoppeld of gecombineerd zijn met Apple producten als Apple TV, Macs, iPhones en iPads.

    Het is meer dan een zijdelingse link dus.

    Oke, dan hadden ze best even mogen vermelden in het artikel dat men op moet passen als je je Apple device hiermee koppelt, maar zelfs daar is geen woord over te bespeuren.

    In mijn ogen is het gewoon een feel good bericht, zodat de vele problemen die Apple heeft gehad, en nog gaat krijgen minder erg gevonden gaat worden, zo van: kijk eens het kan altijd erger.

  • Profielfoto
    Ruwepit

    De relatie is dat er in vele honderdduizenden huiskamers in Nederland Samsung-producten staan. Televisies, smartphones en smartwatches zijn een paar voorbeelden, die in heel veel gevallen dus gekoppeld of gecombineerd zijn met Apple producten als Apple TV, Macs, iPhones en iPads.

    Het is meer dan een zijdelingse link dus.

    Oke, dan hadden ze best even mogen vermelden in het artikel dat men op moet passen als je je Apple device hiermee koppelt, maar zelfs daar is geen woord over te bespeuren.

    In mijn ogen is het gewoon een feel good bericht, zodat de vele problemen die Apple heeft gehad, en nog gaat krijgen minder erg gevonden gaat worden, zo van: kijk eens het kan altijd erger.

    Klopt, het kan dus altijd erger….

  • Profielfoto
    Arjan E.
    Zakskeurl=https://www.onemorething.nl/2017/04/tizen-vol-beveiligingsproblemen/#comment-303653

    Maar het kan dus ook beter, laten ze zich liever daar op richten, eerst de beste worden, jezelf focussen op je problemen, en ze elimineren, in plaats van afgeven op de concurrent;-)

  • Profielfoto
    Ruwepit

    “laten ze zich liever daar op richten
    Wie is “ze”??? Die afgeven op de concurrent?

  • Profielfoto
    Arjan E.

    Hmmm goede vraag, de eerste “ze” is mijn hoop dat Apple zich eindelijk eens daar op gaat focussen, in plaats van de nadruk leggen op haastig uitgebrachte updates, die alsnog kwetsbaarheden/bugs bevatten.

    En de tweede “ze” zijn de auteurs hier, die dit soort berichten plaatsen als een soort stemmingmakerij waarbij ze afgeven op de concurrent , laten zij zich liever bezig houden met “Apple nieuws” zoals je ook tegenkomt op een zoekmachine als je zoekt op: one more thing.

    Misschien wat verwarrend en onduidelijk van mij dat ik die twee onder één en dezelfde noemer heb gegooid, waarvoor excuses.

    Ik hoop dat het zo iets duidelijker is;-)