In den letzten Jahren haben die US-amerikanische National Security Agency (NSA) und die Central Intelligence Agency desselben Landes die Aufmerksamkeit der gesamten IT-Community auf sich gezogen. Wie sich herausstellte, engagieren sich beide Organisationen auch innerhalb ihres eigenen Staates sehr aktiv für Cyberspionage. Dazu verwenden sie
ausgefeilte Tools , Lücken im Schutz von Software und Hardware und im Allgemeinen alles, was möglich ist. Jetzt sind Experten für Informationssicherheit vorsichtig mit der Hardware und Software einer Reihe von US-Unternehmen, da die Möglichkeit besteht, dass die Hardware-Software von Cyberspionen Lücken aufweist.
Scouts müssen jedoch nicht immer erhebliche Anstrengungen unternehmen, um solche Lücken in Software oder Hardware zu schließen. Einige Hersteller machen es selbst, und dann müssen Sie nur noch die Sicherheitslücke finden. Ein Beispiel ist die Entwicklung des südkoreanischen Unternehmens Samsung - des Tizen-Betriebssystems. Die israelischen Cybersicherheitsexperten von Equus Software aus Israel haben 40 Zero-Day-Schwachstellen in diesem Betriebssystem entdeckt. Theoretisch gefährdet dies alles Millionen von Benutzern verschiedener Samsung-Geräte - Fernseher, Telefone, Tablets, Smartwatches und andere Geräte.
Samsung plant, allein in diesem Jahr mehr als 10 Millionen seiner Tizen-Geräte nach Russland, Indien und Bangladesch zu bringen. Darüber hinaus plant das Unternehmen, diese Softwareplattform für intelligente Haushaltsgeräte wie
Waschmaschinen und Kühlschränke einzusetzen. So wird der Witz „Hack the Kühlschrank“ allmählich Realität.
Fast alle erkannten Sicherheitslücken ermöglichen es einem Angreifer, ein gefährdetes Gerät fernzusteuern. Laut Tizen-Forschungsexperten sind alle gefundenen Lücken in der Samsung-Software gefährlich, aber eine davon ist so kritisch wie möglich. Dies betrifft die Tizenstore-Anwendung, den Samsung-Anwendungskatalog, ein Analogon zum Google Play Store, von dem Benutzer von Tizen-Geräten zusätzliche Software herunterladen.
Da TizenStore über den maximalen Zugriff auf das Gerät verfügt, kann ein Angreifer, der die „Lücke“ in der Anwendung kennt, fast alles mit dem Gerät tun, auf dem das Verzeichnis installiert ist. Trotz der Tatsache, dass TizenStore die Authentifizierung verwendet, gibt Experten an, dass es eine Möglichkeit gibt, die Kontrolle über das Gerät zu übernehmen, bevor der Authentifizierungsvorgang gestartet wird.
Es ist erwähnenswert, dass dies eine der ersten groß angelegten Studien von Tizen ist. Bisher haben Cybersicherheitsexperten diesem Betriebssystem aufgrund seiner geringen Verbreitung nicht allzu viel Aufmerksamkeit geschenkt. Jetzt wirbt Samsung für Tizen, die Popularität des Betriebssystems nimmt zu, die Softwareplattform zieht nicht nur die Aufmerksamkeit von Experten für Informationssicherheit, sondern auch von Crackern auf sich. Equus Software hat vor 8 Monaten
beschlossen, Tizen
zu studieren , nachdem das Unternehmen einen Smart-TV von Samsung mit diesem Betriebssystem gekauft hatte.
Anfangs legte Samsung nicht allzu viel Wert auf sein Betriebssystem. Die ersten Telefone mit Tizen wurden also nur in Südafrika, Nepal und Indonesien verkauft. Wie oben erwähnt, wird das südkoreanische Unternehmen seine Tizen-Geräte nun Europäern und Amerikanern
anbieten .
Fast unmittelbar nach Beginn der OS-Studie stellten israelische Experten viele Probleme mit dem Code für dieses Produkt fest. Daher wurde beschlossen, mehrere weitere Telefone bei Tizen zu kaufen, um diese zu analysieren. Laut dem Projektteam enthält der Tizen-Code viele Entwicklungen aus anderen Samsung-Produkten, einschließlich
des Bada-Betriebssystems , dessen Entwicklung und Support eingestellt wurde.
Die meisten Sicherheitslücken sind jedoch neu. Sie sind in Code enthalten, der in den letzten Jahren speziell für Tizen geschrieben wurde. Einige Probleme sind häufige Programmiererfehler. Equus Software ist der Ansicht, dass das Unternehmen den Code nicht zu sorgfältig überprüft und dem Thema Cybersicherheit nicht genügend Aufmerksamkeit schenkt. Einer der Mängel im Code verschiedener Softwareprodukte von Samsung ist die weit verbreitete Verwendung der problematischen Funktion Strcpy (), mit der die meisten modernen IT-Experten nicht arbeiten.
Darüber hinaus verwenden Firmenprogrammierer die SSL-Verschlüsselung nur teilweise, und es stellt sich häufig heraus, dass sie an Orten, an denen die Verschlüsselung am kritischsten ist, nicht verwendet wird. "Sie machen falsche Annahmen, wenn sie versuchen zu entscheiden, wo Verschlüsselung benötigt wird", sagte der Cybersicherheitsexperte Amihai Neiderman.
Nachdem Samsung-Vertreter von dem Problem erfahren hatten, sagten sie Folgendes: „Samsung Electronics legt großen Wert auf Sicherheit und Datenschutz. Wir überprüfen regelmäßig unsere Systeme und versuchen sofort, diese zu beheben, wenn wir eine potenzielle Sicherheitslücke finden. “
Jetzt arbeitet Samsung aktiv mit Neiderman zusammen, um alle gefundenen Probleme zu lösen.
Tizen ist
ein Open Source Linux-Kernel-
Betriebssystem . Es wird nicht nur von Samsung, sondern auch von Intel und einer Reihe anderer Unternehmen verwendet. Sie sammelte eine Reihe von Lösungen, die zuvor in MeeGo, LiMo und Bada verwendet wurden. Es unterstützt Hardwareplattformen auf ARM- und x86-Architekturprozessoren. Es wurde erstmals am 27. September 2011 von der LiMo Foundation und der Linux Foundation eingeführt. Am 9. Februar wurde der Quellcode von Tizen 2.3 veröffentlicht.