Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Samsungs Tizen zit vol met beveiligingslekken

Tizen, het opensourcebesturingssysteem van Samsung voor smart-tv's en andere IoT-apparaten, zit vol beveiligingslekken. De code zit volgens een beveiligingsonderzoeker amateuristisch in elkaar.

​De Israëlische beveiligingsonderzoeker Amihai Neiderman van het bedrijf Equus Software nam de code van Tizen onder de loep, een Linux-gebaseerd besturingssysteem van Samsung. In een interview met Motherboard laat hij weten dat hij 40 zero-day kwetsbaarheden heeft gevonden in de code. Daarmee zou iemand op afstand in miljoenen smart-tv's, smartwatches, slimme koelkasten en mobiele telefoons van Samsung kunnen inbreken. Samsung heeft de laatste jaren heel wat apparaten met het besturingssysteem Tizen uitgebracht, waaronder de Samsung Gear smartwatches.

Slechtste code ooit

"Het is wellicht de slechtste code die ik ooit heb gezien", zei Neiderman tegen Motherboard. "Alles wat je kunt verkeerd doen, doen ze. Het is duidelijk dat niemand met enig begrip van beveiliging deze code heeft geschreven of ernaar heeft gekeken. Het is alsof ze de software door een student hebben laten schrijven."
Zo maken de ontwikkelaars overal in Tizen gebruik van de functie strcpy(), die gegevens in het geheugen kopieert. Maar strcpy() controleert niet of er voldoende ruimte is om de gegevens te schrijven, iets wat uit te buiten is met een buffer overrun. Bovendien zetten de ontwikkelaars niet systematisch ssl-encryptie in.

Heap overflow

Alle fouten die Neiderman vond, lieten toe om op afstand code uit te voeren. De belangrijkste fout zat in de TizenStore app, die apps en updates op een Tizen-apparaat installeert. Een fundamentele fout in het ontwerp liet Neiderman toe om kwaadaardige code op zijn Samsung-tv te installeren. TizenStore gebruikt wel authenticatie om te voorkomen dat niet-toegelaten software wordt geïnstalleerd, maar Neiderman slaagde erin om een heap overflow uit te buiten voordat de authenticatiestap gebeurde.

Geschreven door: Redactie PCM op

Category: Nieuws, Linux

Tags: Tizen, open source, beveiliging, Linux, Samsung

Nieuws headlines

Laatste reactie