Equus Software의 이스라엘 보안 연구원 인 Amihai Neiderman 과의 인터뷰에서 Motherboard 는 Tizen을 운영 체제로 사용하는 모든 Samsung TV, 시계 또는 전화를 원격으로 실행하고 해킹 할 수있는보고되지 않은 보안 취약점이 현재 40 건 있다고 밝혔습니다. 이러한 악용의 많은 이유와 이유에 대한 주장이 더 심각합니다.
내가 본 최악의 코드 일 수 있습니다.
삼성은 폰과 태블릿에서 안드로이드를 타 이젠으로 대체 할 생각은 없지만 현재의 생태계는 크게 확장 될 예정입니다. 삼성은 앞으로 판매하는 모든 스마트 기기에서 타 이젠을 사용하기 위해 노력하고 있습니다. 스마트 냉장고는 누군가가 이메일을 통해 해킹 할 때까지 좋은 생각처럼 들립니다.
Neiderman은 내가 본 최악의 코드일지도 모른다고 말한다. 당신이 잘못 할 수있는 모든 것, 그들은합니다. 보안에 대한 이해가있는 사람은이 코드를 보거나 작성하지 않았 음을 알 수 있습니다. 마치 학부생과 함께 소프트웨어를 프로그래밍하는 것과 같습니다.
모든 대규모 소프트웨어 프로젝트는 버그와 악용에 대해 상당한 부분을 차지합니다. 일부는 다른 것보다 더 심각하지만 대부분의 연구원들은 Android, iOS 및 Windows에 집중하는 것과 같은 방식으로 Tizen을보고 있지 않습니다. 이는 삼성이 1 주일 내에 더 많은 Galaxy S8 전화를 판매하여 Tizen을 실행하는 전화를 판매 할 것이기 때문입니다. 그러나 지금 우리 중 많은 사람들이 손목에 가지고있는 Gear S3 스마트 워치를 포함하여 삼성의 성공적인 제품 라인을 간과하고 있습니다. Neiderman은 Tizen의 삼성 개발 팀을 향한 진지한 그늘을 이어갑니다.
타 이젠 코드베이스의 상당 부분이 오래되었고 삼성이 중단 한 이전의 휴대 전화 운영체제 인 바다 (Bada)를 포함한 이전 삼성 코딩 프로젝트에서 빌려 왔다고한다.
그러나 그가 발견 한 대부분의 취약점은 실제로 지난 2 년 동안 Tizen을 위해 특별히 작성된 새로운 코드에있었습니다. 20 년 전 프로그래머가 저지른 실수 중 상당수는 삼성이 그러한 결함을 예방하고 포착하기위한 기본 코드 개발 및 검토 방법이 부족하다는 것을 나타냅니다.
이것은 몇 가지 이유로 특히 걱정됩니다. 첫째, 삼성이 안드로이드에 추가하는 코드는 오픈 소스가 아니기 때문에 피어 리뷰 프로세스가 없습니다. 주장한 바와 같이, 코딩 및 검토 기술에있어서 삼성이 부족한 경우, 안드로이드 포트폴리오에서도 같은 종류의 실수가 풍부 할 수있다. 그렇지 않은 경우에도 Samsung Gear 시계 제품군은 상당수의 Android 기기에 연결되어 있으며 올바른 도구와 약간의 노하우를 통해 누군가에게 공개 될 수있는 많은 정보를 공유합니다.
공격자는 TizenStore 응용 프로그램을 통해 원하는 소프트웨어를 설치할 수 있습니다.
결제 수단이나 은행으로 송금 할 수있을 정도로 오래 걸리더라도 Samsung Pay를 통한 토큰 화 된 재무 데이터조차도 어느 정도 시계에 있어야합니다. 고맙게도, 그것은 암호를 해독하는 열쇠와 토큰이 무엇인지에 대한 참조없이 대부분 무가치하게 만드는 방법입니다.
이 모든 것을 제외하고 가장 큰 문제는 Tizen 응용 프로그램 저장소 및 설치 관리자의 문제입니다.
Neiderman이 발견 한 하나의 보안 취약점이 특히 중요했습니다. 여기에는 Tizen 기기에 앱 및 소프트웨어 업데이트를 제공하는 Samsung의 TizenStore 앱 (삼성 버전의 Google Play 스토어)이 포함됩니다. Neiderman은 설계상의 결함으로 인해 소프트웨어를 가로 채서 악성 코드를 삼성 TV에 전달할 수 있다고 말했다.
이것은 쇼 스토퍼입니다. TizenStore 앱은 절대 시스템 권한으로 실행되며 사용자의 보조 입력없이 아무것도 설치하고 실행할 수 있습니다. 이 프로세스를 가로 채어 원격 액세스를위한 도구를 설치하고 시스템 권한을 부여하는 데 사용하면 공격자가 원하는 모든 작업을 수행 할 수 있습니다. TizenStore에 액세스하거나 Tizen 애플리케이션을 설치하는 다른 방법이있는 모든 장치는 Samsung Gear 제품군을 포함하여 잠재적으로 취약합니다.
우리는 아무도 그들의 시계 나 텔레비전을 버리지 말라고 권고하지 않습니다. 우리는 Samsung에 연락했는데, Motherboard는 Neiderman과 협력하여 모든 것을 구체화하고 있으며 무언가를들을 때 업데이트 할 것이라고 말합니다.
지금은 Tizen 기반 가제트를 사용하는 동안 Windows 컴퓨터에서 또는 Android 애플리케이션을 사이드로드 할 때와 동일한주의를 기울이십시오.
