Операционная система Samsung Tizen сегодня, это мечта хакера

«Мечта хакера», «худший код» – все это о Tizen OS от компании Samsung

Мы много говорили о том, насколько выгоден для компании Samsung переход на собственную операционную систему. Выпуская популярные смартфоны, южнокорейскому гиганту приходится делить доходы с Google. В угоду своей выгоде Samsung уже выпускает устройства на операционной системе Tizen. Это хорошо для Samsung, и плохо для пользователей. Увы, с программным обеспечением компания из Южной Кореи не дружит.

В прошлом месяце документы, опубликованные Wikileaks, указывали на возможность взлома и слежения за пользователями умных телевизоров Samsung на ОС Tizen при наличии доступа к самому телевизору. Согласно данным израильских исследователей в области безопасности, на деле все еще хуже.

Амихай Нейдерман назвал операционную систему Tizen мечтой для хакера. Он нашел 40 опаснейших уязвимостей, после чего, он высказался об операционной системе компании Samsung следующим образом:

Возможно, это худший код из тех, что мне довелось видеть. Все ошибки, которые можно было допустить, были допущены. Очевидно, что код писал или проверял кто-то, кто ничего не понимает в безопасности. Это все равно, что попросить школьника написать для вас программное обеспечение.

Нейдерман смог заразить умный телевизор Samsung вредоносным кодом без особого труда, используя магазин приложений Tizen. Он утверждает, что система уязвима на всех устройствах, включая смартфоны и умные часы. При этом, многие ошибки пришли из прошлого, таких ОС, как Bada. По его словам, такие ошибки можно было встретить 20 лет назад и, судя по всему, с тех пор Samsung не ушла далеко вперед.

Очень жаль знать такое. Любопытно то, что Нейдерман обратился в Samsung и получил лишь автоматический ответ от почтового робота. Лишь после того, как результаты его исследования были опубликованы на Motherboard, компания Samsung оперативно вышла на связь и начала работу над исправлениями.

Выводы делайте сами.

Думаю, многие из наших читателей помнят середину нулевых годов, когда телефоны ещё не были такими умными, как сегодня, но при этом могли похвастать по-настоящему выдающейся внешностью. Не сказать, что дизайн, который выбирали производители, всегда был удачным, но, так или иначе, выглядели аппараты тех лет определённо интереснее нынешних. Однако, если подумать, то становится ясно, что сыграть на дизайне устройства, у которого всю фронтальную панель занимает экран, а половину задней – объектив камеры, довольно сложно. Но для Samsung нет ничего невозможного.

В этом году было много проблем со смартфонами, которые вышли на рынок. Это касается не только трудностей у Huawei, которой надо как-то привыкать жить в новом мире, опустевшем без Google. Не только у OnePlus 8 были проблемы из-за его ценника. Наверное, самым провальным смартфоном года (как минимум начала) стал Motorola RAZR. Компания очень хотела выпустить его раньше остальных и в целом получилось, но качество было таким, что общественность была очень недовольна. Что же теперь делать, если такой провал уже произошел? Судя по всему, компания готова поработать над ошибками и выпустить второе поколение этого смартфона. Об этом заявил один из руководителей компании. Получится ли у них со второй попытки?

Google никогда не была особенно расторопной в вопросах обновления своих приложений и сервисов. Как правило, в компании предпочитают распространять апдейты постепенно, чтобы, в случае обнаружения каких-либо проблем, иметь возможность отозвать их ещё на ранней стадии. Это давнишнее правило, которое поддерживает ощущение стабильности всех обновлений, которые выпускает поисковый гигант. Однако бывают такие обновления, которые просто нельзя распространять постепенно, а необходимо срочно выкатить для всех и сразу. Конечно же, это система отслеживания больных коронавирусом.

7 комментариев Оставить свой

Всегда говорил, что их Тайзен — мусор. Именно из-за него я не купил их телевизор, а ведь матрицы у них одни из лучших (если не лучшие)

Что может случится с Вашем ТВ, кому мы нужны!

Так безопасность в данном случае — это побочный эффект кривой системы в целом.

Я сделал вывод. Смертную казнь за взлом!

ссылки где? о чем речь конкретно? а то статейка какая-то демагогическая с подтекстом понятным.

Пойду Gear S3 свои выключу на всякий случай, а то вдруг шпиёны и за мной следить будут… Выкрадут ценную информацию, что я в Пятерочку за хлебом хожу, и сколько шагов в день делаю О_о

Да, статейка расчитана на паникера и наивного человека:)

Операционная система Samsung Tizen сегодня, это мечта хакера

Samsung Tizen, операционная система с открытым исходным кодом от Samsung пронизана уязвимостями, согласно мнения эксперта по безопасности Израиля.

ОС Samsung Tizen имеет множество уязвимостей

ОС Tizen от Samsung содержит целых 40 неизвестных ошибок, которые могли бы позволить киберкриминальным специалистам взломать устройства без необходимости физически получать доступ к ним. «Это наверно худший код, который я когда-либо видел», сказал Amihai Neiderman. «Всё, что можно было сделать неправильно, они делают. Мы можем видеть, что никто со стороны безопасности даже не смотрел на этот код, когда писал».

Одним из недостатков, связанных с безопасностью является TizenStore, этот магазин приложений, может позволить хакеру загружать пакеты вредоносного кода с помощью обновления программного обеспечения. TizenStore принимает меры для обеспечения безопасности лишь для того, чтобы только проверенные установки программного обеспечения были на устройствах Tizen, но эти меры могут быть отменены. «Вы можете обновить систему Tizen с любым вредоносным кодом, который захотите», сказал Neiderman.

Читать еще: Как узнать страну-производителя телефона по IMEI iPhone, «Самсунг», «Нокиа»?

Другой недостаток использует переполнение буфера, состояние, которое возникает, когда пространство, к которому данные записываются, слишком мало для объема записываемых данных. Защиты Samsung Tizen, направленные против этого, являются недостаточными, сказал Neiderman.

Tizen также не удалось использовать шифрование для защищенных соединений при передаче определенных данных. «Они сделали много неправильных предположений о том, где необходимо шифрование», добавил Neiderman.

Проблема состоит частично в громоздком коде. Neiderman сообщил, что большая часть кода базы Tizen стара и заимствуется от предыдущих проектов Samsung, в том числе Bada, прекращенной операционной системы для мобильного телефона. «Вы можете видеть, что они взяли весь этот код и попытались засунуть его в Tizen», сказал Amihai.

Плохая новость состоит в том, что компания Samsung, в продолжительном стремлении уменьшить свою зависимость от Android операционной системы Google, выпускает всё большее число устройств с Tizen.

«Tizen будет следующим большим продуктом от Samsung. Мы скоро даже сможем увидеть новые устройства Galaxy, работающие на Tizen. Но сейчас, ОС Tizen недостаточно безопасна для этого».

Tizen будет работать на более 30 миллионах смарт-телевизорах компании Samsung, десятках миллионов смарт-часов, умных стиральных машинах и холодильниках. Она уже есть в смартфонах и компания Samsung хочет, чтобы Tizen работала на телефонах в таких странах, как Россия, Индия и Бангладеш, в планы также входит выпуск 10 миллионов Tizen телефонов уже в этом году.

Samsung рассказала, что работает совместно с Niederman для устранения ошибок. «Мы полностью привержены сотрудничеству с г-ном Neiderman для смягчения любых потенциальных уязвимостей. Благодаря нашей SmarTV программе Bug Bounty, Samsung стремится работать с экспертами в области безопасности во всем мире, чтобы устранить любые угрозы безопасности».

Операционная система Tizen в Samsung Smart TV

На сегодняшний день большое количество новых телевизоров Smart TV от компании Samsung обладают собственными OS и Tizen – одна из них. Она обладает своими преимуществами, недостатками и некоторыми отличительными чертами, поэтому сегодня мы обсудим ее более детально.

Tizen представляет собой операционную систему, которая основана на базе Linux и используется в большом количестве устройств. Так ее можно встретить не только в телевизорах Smart TV, но и в другой бытовой технике, а также в старых моделях некоторых смартфонов. Tizen полностью поддерживает стандарт HTML5 и обладают встроенными механизмами шифрования и защиты данных и средством контейнеризации файлов и приложений. Все это позволило уменьшить количество требований к ресурсам и снизить потребление электроэнергии.

Tizen прекрасно работает с интернетом. Благодаря тому, что может устанавливаться на различные устройства, такие как телевизоры Смарт ТВ, фотоаппараты, кондиционеры, роботы-пылесосы и не только, все эти устройства могут прекрасно взаимодействовать между собой. Объединив их в одну сеть, вы сможете управлять всеми устройствами, используя свой смартфон.

Интерфейс

В OS Tizen компания Samsung решила не разбивать на пять категорий интерфейс Смарт ТВ. Вместо этого навигационный блок представляет собой панель, расположенную в нижней части экрана с иконками, что делает выбор разделов и приложений более удобным. Переключение с одного виджета на другой происходит моментально, что возможно благодаря хорошему быстродействию системы.

Навигационная панель, расположенная внизу экрана, в свою очередь делится на два блока: «Недавние» и «Популярные» виджеты. В первом блоке будут отображаться не только последние использованные виджеты, но и каналы, которые просматривались. В популярных виджетах же будут отображаться самые актуальные. Также есть раздел «Рекомендованные». С его помощью вы можете получить доступ в магазин Tizen для покупки приложений или игр, запустить веб-браузер, поиск, в также сторонние виджеты и сервисы.

В телевизорах Samsung Smart TV, работающих на OS Tizen, также есть игровая панель, которая:

Обеспечивает огромный выбор игр в различных направлениях;
Поддерживает различные виды оплаты;
Поддерживает игры, которые были разработаны на Java, HTML5, C++, NaCl и Unity.

Управлять телевизором Samsung Smart TV можно при помощи цифровой указки, встроенной в пульт дистанционного управления. Для этого используется гироскоп и Bluetooth передатчик. С ее помощью перемещать курсор по полю экрана будет намного проще. Также управление телевизором Smart TV возможно при использовании голосовых команд, которыми можно установить будильник или же настроить громкость звука.

Существуют и модели телевизоров Samsung Smart TV в которых предусмотрен особый режим, при котором экран делится на две части. В первой части можно смотреть телевизионные программы или контент, записанный на подключенный внешний носитель информации, а во второй играть в приложение, сидеть в интернете или социальных сетях. Источник звука и границы блоков можно изменять по своему желанию.

Просматривать передачи, транслируемые по телевизору Smart TV, теперь можно и на других устройствах. Так, подключив смартфон к телевизору Samsung, вы сможете передать транслируемый контент на экран телефона, установив с ним Wi-Fi соединение.

Данная связь может работать и в обратном направлении. Файлы, хранящиеся в мобильном устройстве, вы сможете просмотреть на большом экране.

SDK Tizen

SDK – это набор средств для разработки программного обеспечения для той или иной OS. Для каждой операционной системы существует определенный набор и OS Tizen для Смарт ТВ не является исключением.

Архитектура SDK выглядит следующим образом. Есть ядро, а поверх него расположены другие подсистемы. К верхнему слою подсистем относятся приложения пользователей, которые могут быть гибридными, нативными или типа web. Также в данной SDK существует Native Framework и Web Framework, дающий доступ к разработке приложений. В целом, в данном SDK есть практически все, что может быть использовано при создании программ и виджетов для Tizen.

Читать еще: Кабель micro-USB: обзор, характеристики, назначение

Нативные приложения делятся на 2 вида: UI и сервисные. И те и другие обладают максимальной производительностью и доступом к функционалу, который неограничен ничем. Разница заключается только в их жизненных циклах.

В данной SDK вы сможете посмотреть в качестве примера уже имеющиеся приложения или виджеты и разобравшись, создать на их основе собственные. При этом при разработке программ с помощью SDK Tizen следует учитывать следующие моменты:

Все программы пишутся на C++;
В Native Framework классические исключения C++ не используются, то есть задействовать данный механизм в коде можно, но внутри фреймворка он использоваться не будет.
Коды возврата применяются вместо исключений;
Объекты создаются в два этапа. Сначала используется конструктор, а после для объекта вызывают метод Construct;
Для названий функций, передающих разработчику возвращаемый объект, используется суффикс ‘N’.Это означает, что разработчик несет ответственность за то, что объекты после вызова определенных функций удаляются самостоятельно;
Использование идиомы RAII поощряется.

Контент и приложения в Смарт ТВ

OS Tizen для Смарт ТВ отличается от других тем, что позволяет просматривать контент 4К напрямую из интернета, что стало доступно благодаря поддержке декодирования стандарта VP9.

Для телевизоров Samsung Smart TV на OS Tizen существует достаточно большое количество виджетов. Вы можете воспользоваться имеющимися приложениями или установить другие, которые будут для вас более удобными.

Также, помимо приложений для просмотра видео и прослушивания музыки, вы можете установить на свой телевизор Samsung Smart TV текстовый редактор, какие-либо образовательные программы, виджеты спортивной или другой тематики, а также большое количество различных игр. Так, при помощи специальных виджетов для Смарт ТВ вы сможете отслеживать пробки на дорогах, последние новости, изменения погоды и курса валют.

Кроме того, при желании вы можете и самостоятельно разработать приложение на HTML5 и адаптировать его для работы на различных платформах используя SDK. Доступ к телевизору Смарт ТВ такое приложение может получить через API от Samsung. Также для Смарт ТВ с OS Tizen при помощи SDK могут быть созданы на базе движка Unity 3D высокопроизводительные игры.

Среду для интернет-приложений Caph, имеющуюся в SDK, следует выделить отдельно. Благодаря ней, разрабатывать приложения для телевизоров Смарт ТВ от компании Samsung стало намного быстрее и легче. Также Caph, используя ресурсы GPU, помогает ускорить анимацию и предоставляет для Smart TV различные компоненты.

Мечта для хакеров: в Samsung Tizen обнаружены вопиющие бреши безопасности

По большому счёту, как и раньше, Tizen не играет большой роли на рынке. Хотя Samsung использует эту ОС в качестве альтернативы Android и её версий во множестве устройств, платформа не очень-то рекламируется. Вероятно, по этой причине Tizen не попадал в поле зрения экспертов по безопасности. Но вот специалисты проявили интерес к этой ОС, и результаты оказались ужасающими.

В рамках Kaspersky Lab’s Security Analyst Summit свои сведения представил израильский исследователь Амихай Найдерман, которыми делится журнал Motherboard. Его вывод таков: “Вероятно, это худший код, который я когда-либо видел.”

Свои слова Найдерман аргументирует тем, что он обнаружил в ОС огромное количество самых разных брешей безопасности. “Всё, что можно было сделать не так, они сделали не так. Складывается впечатление, что тот, кто писал код, не имеет ни малейшего представления о защите”, – таков его далеко не лестный отзыв.

Все обнаруженные им бреши безопасности можно использовать для того, чтобы захватить устройство. Но особо опасна иная проблема. Она касается интегрированного в Tizen магазина приложений. Брешь безопасности открывает возможность вписать через него свой код. Меру защиты – приём только корректно написанного кода через магазин приложений – можно обойти. Всё усложняется, по словам Найдермана, тем, что ПО из магазина Tizen обеспечены привилегии на устройстве, и это настоящий подарок для хакера. Злоумышленник получает возможность инфицировать систему вредоносным кодом со всеми вытекающими из этого последствиями.

Единого решения для всех обнаруженных проблем Найдерман не предложил. В конце концов, говорит он, они вызваны целым рядом порой не связанных друг с другом недочётов. Некоторые из выявленных им ошибок разработчики допускали ещё 20 лет назад. Он раскрыл, что разработчики ОС не используют протокол SSL для безопасной передачи данных. Они используют этот протокол для передачи некоторых данных, но там, где это нужно больше всего, шифрование SSL не используется. По его мнению, определённая роль принадлежит здесь стремлению Samsung интегрировать в Tizen платформу Bada. Bada стала первой попыткой Samsung в 2010 году сократить зависимость от Android, но в 2013 эта платформа перестала существовать. Это произошло по причине малой популярности Bada и большей перспективности других платформ. Впоследствии выбор компании пал на Tizen, проект, продвигавшийся ранее Intel и Linux Foundation. Samsung выступила в нём движущей силой.

Теперь ОС используется Samsung в телевизорах и смарт-часах, изменились планы и в отношении смартфонов – правда, продаваться они будут не везде. Найдерман начал изучать код на собственном телевизоре. Обнаружив бреши, он перешёл и на смартфоны. Он установил, что проблемам подвержены все устройства, то есть и смарт-часы, такие как Gear S3, в том числе.

Найдерман сообщил Samsung о брешах безопасности несколько месяцев назад, но не получил ожидаемой реакции. Лишь после публикации результатов исследования Найдермана компания начала что-то предпринимать. Она связалась с экспертом.

Читать еще: Что делать если Покемон ГО не может найти GPS сигнал?

Tizen OS от Samsung оказался раем для хакеров

Плохо, когда исследователь безопасности обнаруживает критический недостаток безопасности в вашем программном обеспечении. Но когда он находит около 40 и все они критические? Вы бы наверное подумали, лучше все переписать с нуля.

Это именно то, что происходит с Samsung с ее операционной системой Tizen, которую компания использует в ряде своих устройств, включая смартфоны, смарт-часы и смарт-телевизоры.

Израильский исследователь безопасности Амихай Нейдерман изложил многочисленные, ранее неизвестные уязвимости безопасности в Tizen в отчете, подробно описанном на саммите аналитиков по безопасности в Сент-Мартине. Нейдерман утверждает, что все дыры, которые он обнаружил, являются критическими и позволят хакерам дистанционно управлять устройством Samsung.

Некоторые, однако, хуже других. Особенно неприятная уязвимость позволит злоумышленнику взять контроль над приложением TizenStore – магазина приложений для Tizen – чтобы внедрить вредоносное программное обеспечение в устройство Tizen. Поскольку данное приложение может обращаться к любой части системы и изменять ее, злоумышленник, использующий эту уязвимость, будет иметь абсолютный и полный контроль над вашим устройством Tizen.

Нейдерман, который начал изучать безопасность Tizen после покупки смартфона Samsung в прошлом году, называет код данной ОС худшим из всех, каких он когда-либо видел: «Вы можете увидеть, что никто, кто понимает толк в безопасности, не проверял или не писал его». В интервью он предположил, что код писали стажеры – вчерашние студенты.

Нейдерман утверждает, что он связался с Samsung по поводу уязвимостей несколько месяцев назад, но не получил ничего, кроме автоматизированного шаблонного ответа. Тем не менее, Samsung сообщил СМИ, что теперь компания работает с Нейдерманом, чтобы «смягчить любые потенциальные уязвимости».

По данным Samsung, на Tizen с открытым исходным кодом было выпущено 50 миллионов устройств Samsung по состоянию на ноябрь 2016 года. Среди них смарт-часы Samsung Gear S3 и линейка смартфонов компании, которая недавно оказалась в центре внимания после того, как утечка WikiLeaks сообщила о средствах взлома ЦРУ, использующих эксплойт, который позволяет агентству прослушивать смартфоны Samsung.

Samsung имеет большие планы для Tizen. В скором времени компания перестанет выпускать смартфоны на базе ОС, но планирует использовать его на многих будущих устройствах интернета вещей. Однако, если отчет об уязвимостях подтвердится, то планы компании могут сильно измениться.

Мечта для хакеров: в Samsung Tizen обнаружены вопиющие бреши безопасности

голоса

Рейтинг статьи