Au cours des deux dernières années, la National Security Agency (NSA) américaine et la Central Intelligence Agency du même pays ont attiré l'attention de l'ensemble de la communauté informatique. Il s'est avéré que les deux organisations sont très activement engagées dans le cyberespionnage, même au sein de leur propre État. Pour ce faire, ils utilisent
des outils sophistiqués , des trous dans la protection des logiciels et du matériel, et en général tout ce qui est possible. Maintenant, les experts en sécurité de l'information sont prudents quant au matériel et aux logiciels d'un certain nombre de sociétés américaines, car il est possible qu'il y ait des failles dans le logiciel d'équipement hébergé par les cyber-espions.
Mais les éclaireurs n'ont pas toujours besoin de faire des efforts importants pour placer de telles failles dans les logiciels ou le matériel. Certains fabricants le font eux-mêmes, et il vous suffit ensuite de trouver la vulnérabilité. Un exemple est le développement de la société sud-coréenne Samsung - le système d'exploitation Tizen. Les experts israéliens en cybersécurité d'Equus Software en Israël ont découvert 40 vulnérabilités zero-day dans cet OS. Théoriquement, tout cela met en danger des millions d'utilisateurs de divers appareils Samsung - téléviseurs, téléphones, tablettes, montres intelligentes et autres appareils.
Samsung prévoit d'apporter plus de 10 millions de ses appareils Tizen en Russie, en Inde et au Bangladesh cette année seulement. En outre, la société prévoit d'utiliser cette plate-forme logicielle pour les appareils ménagers intelligents, notamment
les machines à laver et les réfrigérateurs. Ainsi, la blague «pirater le réfrigérateur» devient progressivement une réalité.
Presque toutes les vulnérabilités détectées permettent à un attaquant de contrôler à distance un appareil compromis. L'expert en recherche de Tizen dit que tous les trous trouvés dans les logiciels Samsung sont dangereux, mais l'un d'eux est aussi critique que possible. Il affecte l'application Tizenstore, le catalogue d'applications de Samsung, un analogue du Google Play Store, à partir duquel les utilisateurs d'appareils Tizen téléchargent des logiciels supplémentaires.
Étant donné que TizenStore a le niveau d'accès maximal à l'appareil, un attaquant qui connaît le «trou» dans l'application peut faire presque n'importe quoi avec l'appareil sur lequel le répertoire est installé. Malgré le fait que TizenStore utilise l'authentification, les experts disent qu'il existe un moyen de prendre le contrôle de l'appareil avant de démarrer la procédure d'authentification.
Il convient de noter qu'il s'agit de l'une des premières études à grande échelle de Tizen. Auparavant, les experts en cybersécurité n'accordaient pas trop d'attention à ce système d'exploitation en raison de sa faible prévalence. Maintenant que Samsung fait la promotion de Tizen, la popularité du système d'exploitation augmente, respectivement, la plate-forme logicielle attire l'attention non seulement des experts en sécurité de l'information, mais aussi des crackers. Equus Software a
décidé d'étudier Tizen il y a 8 mois, après que la société a acheté un téléviseur intelligent à Samsung avec cet OS.
Au départ, Samsung n'accordait pas trop d'importance à son système d'exploitation. Ainsi, les premiers téléphones avec Tizen ont été mis en vente uniquement en Afrique du Sud, au Népal, en Indonésie. Maintenant, comme mentionné ci-dessus, la société sud-coréenne
va proposer ses appareils Tizen aux Européens et aux Américains.
Presque immédiatement après le début de l'étude OS, les experts israéliens ont trouvé beaucoup de problèmes avec le code de ce produit. Par conséquent, il a été décidé d'acheter plusieurs autres téléphones avec Tizen afin de les analyser. Selon l'équipe du projet, le code Tizen contient de nombreux développements à partir d'autres produits Samsung, y compris
le Bada OS , dont le développement et le support ont été interrompus.
Cependant, la plupart des vulnérabilités sont nouvelles, elles sont contenues dans du code écrit spécifiquement pour Tizen au cours des deux dernières années. Certains problèmes sont des erreurs de programmation courantes. Equus Software estime que la société ne vérifie pas le code trop attentivement, en accordant une attention insuffisante à la question de la cybersécurité. L'un des défauts du code de divers logiciels de Samsung est l'utilisation généralisée de la fonction problématique Strcpy (), avec laquelle la plupart des informaticiens modernes ne travaillent pas.
De plus, les programmeurs d'entreprise n'utilisent le cryptage SSL que partiellement, et il s'avère souvent que dans les endroits où le cryptage est le plus critique, il n'est pas utilisé. "Ils font de fausses hypothèses lorsqu'ils essaient de choisir où le chiffrement est nécessaire", a déclaré Amihai Neiderman, expert en cybersécurité.
Après avoir pris connaissance du problème, les représentants de Samsung ont déclaré ce qui suit: «Samsung Electronics accorde une grande attention à la sécurité et à la confidentialité. Nous vérifions régulièrement nos systèmes et si nous découvrons une vulnérabilité potentielle, nous essayons immédiatement de la corriger. »
Maintenant, Samsung travaille activement avec Neiderman pour résoudre tous les problèmes rencontrés.
Tizen est
un système d'exploitation de noyau Linux
open source . Il est utilisé non seulement par Samsung, mais aussi par Intel, ainsi que par un certain nombre d'autres sociétés. Elle a rassemblé un certain nombre de solutions précédemment utilisées dans MeeGo, LiMo et bada. Il prend en charge les plateformes matérielles sur les processeurs d'architecture ARM et x86. Il a été introduit pour la première fois le 27 septembre 2011 par la Fondation LiMo et la Fondation Linux. Le 9 février, le code source de Tizen 2.3 a été publié.