如果说三星与 Android 关系密切,那么这家韩国巨头也在推出自己的操作系统,但鲜为人知的是:Tizen。而也正是因为这个操作系统,在2017年卡巴斯基安全分析师峰会上受到了严厉的批评。
在检查了供应商的 Tizen 操作系统后,安全研究员 Amihai Neiderman 解释说,他发现了至少 40 个安全漏洞,所有这些漏洞都处于关键级别,并允许远程控制受影响的设备。
特别是,研究人员通过 TizenStore 中的缺陷成功感染了自己的三星联网电视。此应用程序商店具有在 Tizen 设备上安装软件的管理员权限。通过使用这个易受攻击的平台,攻击者可以“使用任何恶意代码更新 Tizen 系统”,研究人员解释说母板。
用脚编码
专家还认为Tizen代码“这可能是[他]见过的最糟糕的”。“你可能做错的一切,他们都做了。显然,这段代码不是由任何具有安全知识的人编写或审核的。这就像带一个学生让他开发你的软件””,阿米海·奈德曼强调道。
一个引人注目的例子是“strcpy()”函数,它允许在内存中复制数据。不幸的是,它不会检查是否有足够的空间来写入此数据,这会导致缓冲区溢出。据 Amihai Neiderman 称,目前没有开发人员使用此功能……除了 Tizen 的开发人员。
研究人员几个月前联系了三星,但只收到了自动回复。在主板文章发表后,这家韩国公司醒悟过来,解释说它已准备好与 Neiderman 先生合作,特别是通过 SmartTV Bug Bounty 计划。
Tizen 目前主要部署在智能手表和电视上,以及在发展中国家销售的一些手机上。考虑到 Tizen 代码的质量,它不太可能成为 Android 的可靠替代品。
