三星自家 Tizen 操作系統被轟史上最爛,存在嚴重資安漏洞

作者 | 發布日期 2017 年 04 月 05 日 17:28 | 分類 Samsung , 資訊安全 , 軟體、系統 follow us in feedly

據 Fortune 報導,三星的 Tizen 操作系統近日被發現存在 40 多個安全漏洞,三星在一系列三星智慧電視、智慧手錶和 Z 系列手機上使用該系統,這些漏洞可能會讓駭客更加容易遠程攻擊和控制裝置。以色列資安研究人員 Amihai Neiderman 表示,這些漏洞會讓數以百萬計的電子裝置面臨風險。



儘管尚未確定是否已經有駭客利用 Tizen 系統中漏洞攻擊裝置,但資安研究人員 Amihai Neiderman 仍把這些安全漏洞定義為零日漏洞(指被發現後立即被惡意利用的資安漏洞),他還表示,在過去 8 個月的分析中,三星一直沒有修復這些漏洞,而這些漏洞很可能是由於三星在產品測試中的編碼錯誤引起的。

據介紹,該系統其中一個漏洞存在於 Tizen 軟體商店中,駭客可以在軟體更新時利用漏洞,在用戶手機中植入流氓軟體。儘管三星 Tizen 軟體商店的軟體要經過認證才能進行更新,但是利用這個漏洞就可以繞過三星的限制體系。

Amihai Neiderman 還表示,在傳輸重要數據的過程中,Tizen 操作系統甚至沒有採取加密措施,其在加密需求方面做了很多錯誤的假設。Amihai Neiderman 還不忘對 Tizen 操作系統嘲諷一番,他在接受 Motherboard 採訪時直言

三星的開源 Tizen 操作系統中的代碼可能是我見過的最爛的代碼,編寫者對安全性沒有任何了解,就像在校大學生的程式設計作品。

對於 Amihai Neiderman 的資安報告,三星一開始並沒有做出回應,但隨著更多媒體報導後,三星發表了一份聲明稱將會和 Amihai Neiderman 合作,以消除任何潛在的漏洞,言下之意即報告中的漏洞確實存在。

Tizen 是一款利用開放源代碼的行動操作系統,可支持智慧手機、平板電腦、智慧電視等多種類型的裝置, 由 Linux 聯盟攜手三星和英特爾共同開發,Tizen 曾被三星寄希望於挑戰 Android 和 iOS 的地位。

▲ 搭載 Tizen 操作系統的三星 Z1 。(Source:Flickr/Kārlis Dambrāns CC BY 2.0)

然而 Tizen 一直在操作系統市場中艱難求生,三星曾經在東南亞及非洲部分地區推出過搭載 Tizen 系統的手機,但是銷量慘淡。此後除了部分低階手機,三星也沒有在其智慧手機中和平板電腦搭載 Tizen 系統,而是將其安裝到了一系列家電產品和可穿戴裝置中。

雖然 Tizen 的市佔率遠低於 Android ,但目前至少也有 3,000 萬台三星裝置執行 Tizen 系統,包括三星智慧電視、三星 Gear 智慧手錶以及在俄羅斯、印度等少數國家出售的三星手機。

▲ 搭載 Tizen 系統的 Gear S2。(Source:Flickr/Kārlis Dambrāns CC BY 2.0)

三星還表示,將進一步拓展 Tizen 的應用範圍,除了在洗衣機和冰箱等三星智慧家居上搭載該系統,三星還計劃在今年銷售 1,000 萬台搭載 Tizen 系統的手機,以減少對 Android 系統的依賴。

但目前看來,已經準備在三星 Galaxy 系列上躍躍欲試的 Tizen 面臨著很大的安全問題。而 Amihai Neiderman 表示,在修正相關代碼之前,三星需要重新考慮在手機中安裝 Tizen 系統的計畫。

▲ 2015 年 MWC 大會上的 Tizen 展台。(Source:Flickr/Kārlis Dambrāns CC BY 2.0)

三星裝置的資安漏洞最近頻頻被曝光,就在前幾天,瑞士安全顧問 Rafael Scheel 還展示了如何透過空中傳播的電視訊號攻擊三星智慧電視,他使用廉價的發射機將惡意命令嵌入數位視訊廣播(DVB-T)訊號中完成了攻擊。Rafael Scheel 稱這種攻擊可以讓駭客獲得 Root 根控制權,透過三星智慧電視的鏡頭和麥克風窺探和監控用戶。

而在一個月前,維基解密公布了一批美國中情局(CIA)文件,文件中透露早在 2014 年 CIA 和英國軍情五處(MI5)就聯手研究新技術「哭泣天使」(Weeping Angel),這項技術能讓三星智慧電視處於假關機(fake-off)狀態,讓用戶誤以為電視已關機,進而竊聽用戶對話,透過網路上傳到一個祕密的中情局伺服器上。三星隨後也回應稱:

保護用戶的隱私和保證裝置的安全是我們最優先考慮的事情。我們已了解了相關報導,目前正在對此展開緊急調查。

值得一提的是,三星在上個月初組建了一個全球產品品質改進辦公室,負責提高產品品質和改進生產程序,以防止類似 Note 7 電池爆炸醜聞的發生,不知道上述這些資安漏洞屬不屬於這個辦公室的職責範圍呢?

三星自去年 Note 7 爆炸以來就危機不斷,股價大跌,李在鎔被捕,在最近發表新旗艦 Galaxy S8 和 Galaxy S8+ 後才開始讓三星展現一些出力挽狂瀾的勢頭,儘管資安漏洞幾乎是所有電子廠商都要面臨的問題,但三星想必也不希望在任何領域誕生第二個「Note 7」。

(本文由 愛范兒 授權轉載;首圖來源:Tizen) 

關鍵字: , , , ,