Het op Linux gebaseerde Tizen OS van Samsung is een beveiligingsnachtmerrie

Samsung werkt de laatste jaren aan Tizen om een ​​vervanger te zijn voor Android. Het lijkt er echter op dat het werk dat ze hebben gedaan zeer slecht is.

Wat is Tizen?

Tizen is een op Linux gebaseerd open source mobiel besturingssysteem dat al 5 jaar bestaat. Rond 2013 begon Samsung serieus met de ontwikkeling in Tizen. Het doel was om een ​​haalbaar alternatief voor Android te maken.

Samsung wil een alternatief voor Android vanwege de pestachtige relatie tussen Google en makers van apparaten. Hoewel Android mogelijk gratis en open source is, zijn de Google-apps op Android-apparaten (en klanten kunnen niet zonder leven) gesloten. Als apparaatfabrikanten toegang willen tot de Google-apps, moeten ze lid worden van de Open Handset Alliance. De leden van de OHA zijn "contractueel verboden om apparaten te bouwen die niet door Google zijn goedgekeurd".

Dit is eigenlijk wat Google te zeggen had in een blogpost:

Hoewel Android gratis is voor iedereen om te gebruiken zoals ze zouden willen, profiteren alleen Android-compatibele apparaten van het volledige Android-ecosysteem. Door lid te worden van de Open Handset Alliance draagt ​​elk lid bij aan en bouwt het een Android-platform, niet een hele reeks incompatibele versies.

Dus in wezen wil Samsung een manier om geld te verdienen als ze ruzie hebben met Google of Google gewoon verdwijnt.

Veel beveiligingsproblemen

Hoewel Samsung goede bedoelingen heeft, hebben ze behoorlijk wat werk voor de boeg. Onlangs heeft de Israëlische onderzoeker Amihai Neiderman onthuld dat Tizen vol zit met gaten in de beveiliging. Hij onthulde zelfs dat hij 40 voorheen onbekende kwetsbaarheden had ontdekt waardoor een hacker het kon overnemen en een door Tizen aangedreven apparaat.

Neidermen zei: "Het is misschien wel de slechtste code die ik ooit heb gezien. Alles wat je daar fout kunt doen, doen ze. "

Nogal wat van de Tizen-codebasis komt uit verschillende eerdere Samsung-projecten, waaronder een vorig mobiel besturingssysteem genaamd Bada. De meeste slechte code is echter de afgelopen twee jaar geschreven en bevat fouten die twintig jaar geleden gebruikelijk waren.

Een ander van de ontdekte problemen was dat de ingebouwde app-winkel van Tizen op het hoogste privilegieniveau werkte. Hierdoor kan een hacker kwaadaardige code implementeren via het updatemechanisme. Hoewel Tizen een authenticatieprogramma heeft ingebouwd om dit te voorkomen, kon Neidermen een andere kwetsbaarheid vinden die hem controle gaf om het authenticatiesysteem te overschrijven.

Er was ook een probleem met de manier waarop communicatie werd beveiligd. Soms werd SSL gebruikt en soms niet. Vaak werden gegevens zonder bescherming overgedragen.

Hoeveel hebben er problemen?

Gelukkig heeft Tizen tot dusverre maar een kleine implementatie gezien. Er zijn momenteel 30 miljoen smart-tv's, mogelijk gemaakt door Tizen, evenals een aantal telefoons en smartwatches. De meeste telefoons en horloges werden verkocht in India en Rusland. Op CES 2017 onthulde Samsung plannen om een ​​reeks Tizen-powered Internet of Things (IoT) -apparaten te lanceren, waaronder de Smart Hub Family Hub 2.0-koelkast en de Intelligent Washing-machine. Tizen is ook beschikbaar voor Raspberry PI.

IoT-beveiligingsproblemen (en een oplossing?)

Met dank aan: Klossner

Naarmate IoT geavanceerder en nauwer verweven raakt met het dagelijks leven, moet veiligheid een prioriteit worden. Helaas staan ​​duizenden apparaten open voor aanvallen. In 2013 ontdekte een hacker met een witte hoed genaamd Billy Rios dat medische apparaten met internetverbinding in ziekenhuizen, zoals infusiepompen of hartmonitors, open konden staan ​​voor aanvallen van hackers. In een geval werd de persoonlijke informatie van een patiënt ontdekt op de harde schijf van een bloedgasanalysator.

Naast identiteitsdiefstal is er ook de zorg dat hackers onbeveiligde IoT-apparaten in hun eigen botnetwerk kunnen veranderen. Een hacker kan dit low-power bot-netwerk gebruiken om websites te verwijderen met denial of service-aanvallen, in feite overweldigende servers met te veel verkeer.

Tech-journalist Bob Cringely heeft een oplossing voor de dreiging van een ondood IoT-botnet. Hij stelt voor een afzonderlijk protocol te maken waarmee IoT-apparaten elkaar kunnen aanspreken, maar waardoor ze het gewone internetverkeer niet kunnen verstoren of zelfs zien. In principe zouden informatiepakketten voor IoT-apparaten en het gewone internet elkaar passeren, onbewust van het bestaan ​​van elkaar. Er zouden een paar gateways zijn tussen de twee groepen om hen in staat te stellen te communiceren en informatie te delen, maar niets kwaadaardigs te doen.

Laatste gedachten

Om Full Metal Jacket te parafraseren, heeft Samsung een ernstige storing in hun handen. Hun Android-moordenaar is een paradijs voor hackers.

Het lijkt erop dat Samsung gemengde signalen uitzendt. Ze positioneren Tizen als Android-vervanging op telefoons, horloges en nog veel meer. Maar aan de andere kant zit hun nieuwste versie vol kwetsbaarheden en slecht geschreven code. Het lijkt erop dat ze zo gewend zijn geraakt aan iemand die het besturingssysteem heeft gemaakt dat ze geen competente code kunnen leveren.

De vraag is: zijn ze echt geïnteresseerd in het leveren van een besturingssysteem of moet Tizen gewoon een stok zijn om het hoofd van Google vast te houden?

Persoonlijk zou ik Tizen willen proberen, omdat ik graag met nieuwe dingen speel, maar ik stop dat een tijdje totdat ze hun codeproblemen opgelost hebben.

Heb je Tizen gebruikt? Wat denk je van dit nieuws?

Als je dit artikel interessant vindt, deel het dan met je vrienden en familie op je favoriete sociale mediasites.

Aanbevolen

Installeer Adobe Lightroom Alternatieve RawTherapee in Ubuntu
2019
Download 15 prachtige sexy achtergronden van Debian
2019
Gebruik de modus Niet storen in Ubuntu met NoNotifications
2019