如果說三星與 Android 關係密切,那麼這家韓國巨頭也在推出自己的作業系統,但鮮為人知的是:Tizen。而也正是因為這個作業系統,在2017年卡巴斯基安全分析師高峰會上受到了嚴厲的批評。
在檢查了供應商的 Tizen 作業系統後,安全研究員 Amihai Neiderman 解釋說,他發現了至少 40 個安全漏洞,所有這些漏洞都處於關鍵級別,並允許遠端控制受影響的設備。
特別是,研究人員透過 TizenStore 中的缺陷成功感染了自己的三星連網電視。此應用程式商店具有在 Tizen 設備上安裝軟體的管理員權限。透過使用這個易受攻擊的平台,攻擊者可以“使用任何惡意程式碼更新 Tizen 系統”,研究人員解釋說主機板。
用腳編碼
專家也認為Tizen程式碼“這可能是[他]見過的最糟糕的”。「你可能做錯的一切,他們都做了。顯然,這段程式碼不是由任何具有安全知識的人編寫或審核的。這就像帶一個學生讓他開發你的軟體””,阿米海·奈德曼強調。
一個引人注目的例子是「strcpy()」函數,它允許在記憶體中複製資料。不幸的是,它不會檢查是否有足夠的空間來寫入此數據,這會導致緩衝區溢位。據 Amihai Neiderman 稱,目前沒有開發人員使用此功能……除了 Tizen 的開發人員。
研究人員幾個月前聯繫了三星,但只收到了自動回覆。在主板文章發表後,這家韓國公司醒悟過來,解釋說它已準備好與 Neiderman 先生合作,特別是透過 SmartTV Bug Bounty 計劃。
Tizen 目前主要部署在智慧手錶和電視上,以及在發展中國家銷售的一些手機上。考慮到 Tizen 程式碼的質量,它不太可能成為 Android 的可靠替代品。
