6 апреля 2017

Tizen OS: 40 свежих уязвимостей

Новости

Вот уже несколько лет, как в Samsung, крупнейшем в мире производителе смартфонов, всерьез занялись продвижением на рынок своей собственной операционной системы — Tizen. Эксперимент начался в 2013 году, когда на рынок были выпущены две фотокамеры Samsung, работающие под управлением этой ОС. Потом компания представила семейство умных часов на Tizen.

Tizen OS: 40 свежих уязвимостей

В 2015-м, вместе с анонсом недорогого аппарата Samsung Z1, эта операционная система пришла в смартфоны. А в 2016-м корейский гигант полностью перевел на Tizen свои умные телевизоры: в настоящий момент любой новый Smart TV Samsung — это Tizen. Наконец, в 2017 году на Consumer Electronics Show компания представила стиральную машину, холодильник и пылесос, работающие под управлением Tizen.

Сейчас количество работающих под управлением Tizen устройств оценивается в несколько десятков миллионов (большая часть приходится на умные телевизоры Samsung). И судя по тому, что в Samsung явно серьезно настроены проталкивать эту ОС во все многочисленные категории товаров, которые компания производит, количество Tizen-устройств уже в ближайшем будущем может существенно увеличиться.

Пожалуй, самое время задать вопрос: а как в Tizen обстоят дела с безопасностью?

Если судить по представленному на нашем Security Analyst Summit 2017 докладу исследователя Амихая Нидермана, дела обстоят, мягко говоря, не очень хорошо. Исследователю удалось обнаружить 40 ранее неизвестных уязвимостей — тех самых zero days, которые используются для взлома и получения контроля над устройством, в том числе уязвимости в магазине приложений Tizen Store и браузере Tizen Browser. Проблема в том, что Tizen Store обладает максимальными правами, какие приложение вообще только может получить на Tizen, поэтому злоумышленники могут использовать его, чтобы отправлять зловредов на подключенные к нему устройства.

«Я обнаружил около 40 различных «дырок». Я словно попал в 2005 год — в том смысле, какие именно уязвимости я увидел в Tizen. Вы можете открыть любой учебник по исследованию уязвимостей, и подобные баги будут описаны чуть ли не на первой странице, — говорит Амихай Нидерман. — На данный момент Tizen просто не готова к массовому распространению. Если мне удалось за несколько часов найти все эти уязвимости, то тому, кто решит всерьез исследовать Tizen, наверняка удастся найти на порядок больше».