在4月3日的卡巴斯基安全分析师峰会上,以色列安全研究人员Amihai Neiderman表示:三星产品主流操作系统Tizen存在40多个0-day漏洞,这些漏洞能让黑客非常容易远程攻击和控制三星设备,Neiderman也计划陆续公布这些漏洞。目前,三星广泛在其智能电视、智能手表和Z系列智能手机中使用了Tizen操作系统,另外,为了减少对Google Android的依赖,三星还打算将其产品全面转移到Tizen系统上来。
而就在上个月,维基解密曝光了由CIA和MI5共同开发的针对三星智能电视的木马植入工具组件“哭泣天使”,该工具涉及多个老版本的三星智能电视,并且需要物理USB接触才能实现攻击。而根据目前Neiderman所发现的0-day漏洞来看,三星产品的安全状况比想像中更糟糕更严重。
“最糟糕代码”产生的漏洞能远程劫持三星设备Neiderman表示,Tizen操作系统代码可能是他见过最糟糕的代码,漏洞百出,非常低级,编写者没有任何安全性概念,就像还没毕业本科生的编程作品。“所有这些漏洞可能使得黑客通过远程代码执行方式远程控制三星设备,并且其中一个非常严重的漏洞涉及类似于谷歌应用商店TizenStore的Tizen应用程序App,通过该漏洞可以劫持App并向电视中传播恶意程序代码。”,由于Tizen App以最高权限运行于设备系统中,所以对于黑客来说,可以向App中植入恶意代码,在Tizen系统更新时隐蔽地实现入侵。
可向Tizen系统中植入任意恶意代码尽管TizenStore需要对安装到三星设备的软件进行认证,但Neiderman发现的另一个堆溢出漏洞能成功绕过认证。虽然之前有安全人员发现过三星设备的各种问题,但由于Tizen还未大量应用于三星手机设备中,其安全问题可能被大多数安全社区忽视。
随着第一批三星Tizen手机在印度销售之后,其市场已扩大到南非、尼泊尔、非洲和印度尼西亚部分地区,有迹象表明,三星计划在拉丁美洲和中东、欧洲部分地区销售Tizen手机,最终进军美国市场。同时,三星也计划不断扩大其App目录,并将向入围最受欢迎的100个App开发者提供一万美元奖励。
Neiderman通过研究表示,三星Tizen代码库很多都是旧的,大部分都借用了以前的项目(如Bada)。Neiderman发现的大多数漏洞都是在过去两年内为Tizen专门编写的新代码,而这些漏洞被可以算是二十年前程序员就会犯的错误,由此可见,三星对安全缺乏基本的代码开发和审查实践。
Neiderman举例说明,如Tizen中复制数据的strcpy()函数都存在缓冲区溢出漏洞,这种小儿科的错误竟然还出现在Tizen代码中,非常让人震惊。另外,在系统数据传输功能中竟然未使用SSL加密功能,在安全连接和非安全连接之间的设计也是一团糟。
三星公司的态度Neiderman曾于几个月前联系三星报告他发现的漏洞问题,但只收到一封自动回复的电子邮件。但当记者与三星韩国总部联系时,三星发言人通过电子邮件作出回复:“三星公司非常重视安全和隐私,我们会定期检查我们的系统,如果存在潜在的漏洞隐患,我们将及时调查和解决问题”。
在本文发表后,三星又向记者发来了一份声明:“我们将积极与Neiderman先生合作,缓解任何潜在漏洞威胁。通过我们的SmartTV Bug Bounty计划,三星将致力于与世界各地的安全专家合作以消除任何安全隐患”。