OMT Driehoek Copy 3

Samsungs Tizen vol beveiligingsproblemen

Als je de exploderende Galaxy Note 7 door de vingers ziet, maakt Samsung best degelijke hardware. Software gaat het Koreaanse bedrijf een stuk minder goed af, blijkt uit een analyse van Samsungs Tizen OS, dat op smart­watches en TV’s van het bedrijf staat.

Onderzoeker Amihai Neiderman windt er geen doekjes om: Tizen heeft “de slechtste code” die hij ooit heeft gezien. Hij vond 40 zero day-kwetsbaarheden in de laatste versie van het besturingssysteem.

Apparaten op afstand te hacken De onderzoeker zegt in een interview met Motherboard dat kwaadwillenden apparaten die op Tizen draaien eenvoudig op afstand kunnen hacken, fysieke toegang is niet nodig. Neiderman vermoedt dat niemand met verstand van zaken bij de code betrokken is. Alles wat fout kon gaan, is ook fout gegaan.

“Het is alsof een stel eerstejaars studenten de software heeft gemaakt.”

Samsung Tizen draait op televisies, koelkasten en smartwatches van het bedrijf. De grooste fouten zitten in de Tizen Store, de app-winkel voor het systeem. Deze controleert apps onvoldoende, waardoor willekeurige applicaties uitgevoerd kunnen worden. Een ander voorbeeld is het gebruik van de functie strcpy() in de C-programmeertaal. Veel programmeurs gebruiken deze niet omdat er snel buffer overflows mee veroorzaakt kunnen worden, maar Tizen zit er vol mee. Samsungs OS gebruikt SSL ook niet consistent, waardoor gevoelige data onversleuteld wordt verstuurd.

Tizen als Android-vervanger Tizen is open source en wordt door Samsung vooral gebruikt als vervanger voor Android, maar in het verleden hebben Intel en Nokia ook meegewerkt aan de ontwikkeling van het systeem. Volgens de onderzoeker is het een verzameling van oude code, aangevuld met nieuwe code van Samsung die erg slecht geschreven is.

Vooral het gebruik op Smart TV’s baart ons zorgen. Vorige maand hoorden we dat de CIA microfoons en mogelijk camera’s in televisies van Samsung kon aftappen en afgelopen week kwam in het nieuws dat door kwaadaardige code in het televisiesignaal te stoppen, bepaalde Samsung TV’s op afstand overgenomen konden worden.

Een Samsung-koelkast met Tizen. Samsung gebruikt Tizen ook in een aantal telefoons voor ontwikkelingslanden, maar op telefoons voor de Europese markt wordt Android gebruikt. Ook dat is niet altijd even veilig, maar een stuk veiliger dan Tizen. De onderzoeker presenteerde zijn bevindingen tijdens de Security Analyst Summit van Kaspersky en zegt contact te hebben met Samsung. Ons advies: apparaat met Tizen in huis? Geen toegang tot internet geven.

Archief