伊莉討論區

標題: [新訊] 三星自家 Tizen 操作系統被轟史上最爛,存在嚴重資安漏洞 [打印本頁]
作者: offman    時間: 2017-4-7 08:04 PM     標題: [新訊] 三星自家 Tizen 操作系統被轟史上最爛,存在嚴重資安漏洞

本帖最後由 offman 於 2017-4-7 08:05 PM 編輯

[attach]118323473[/attach]
     據 Fortune 報導,三星的 Tizen 操作系統近日被發現存在 40 多個安全漏洞,三星在一系列三星智慧電視、智慧手錶和 Z 系列手機上使用該系統,這些漏洞可能會讓駭客更加容易遠程攻擊和控制裝置。以色列資安研究人員 Amihai Neiderman 表示,這些漏洞會讓數以百萬計的電子裝置面臨風險。
儘管尚未確定是否已經有駭客利用 Tizen 系統中漏洞攻擊裝置,但資安研究人員 Amihai Neiderman 仍把這些安全漏洞定義為零日漏洞(指被發現後立即被惡意利用的資安漏洞),他還表示,在過去 8 個月的分析中,三星一直沒有修復這些漏洞,而這些漏洞很可能是由於三星在產品測試中的編碼錯誤引起的。

據介紹,該系統其中一個漏洞存在於 Tizen 軟體商店中,駭客可以在軟體更新時利用漏洞,在用戶手機中植入流氓軟體。儘管三星 Tizen 軟體商店的軟體要經過認證才能進行更新,但是利用這個漏洞就可以繞過三星的限制體系。

Amihai Neiderman 還表示,在傳輸重要數據的過程中,Tizen 操作系統甚至沒有採取加密措施,其在加密需求方面做了很多錯誤的假設。Amihai Neiderman 還不忘對 Tizen 操作系統嘲諷一番,他在接受 Motherboard 採訪時直言:

   " 三星的開源 Tizen 操作系統中的代碼可能是我見過的最爛的代碼,編寫者對安全性沒有任何了解,就像在校大學生的程式設計作品。"

對於 Amihai Neiderman 的資安報告,三星一開始並沒有做出回應,但隨著更多媒體報導後,三星發表了一份聲明稱將會和 Amihai Neiderman 合作,以消除任何潛在的漏洞,言下之意即報告中的漏洞確實存在。

Tizen 是一款利用開放源代碼的行動操作系統,可支持智慧手機、平板電腦、智慧電視等多種類型的裝置, 由 Linux 聯盟攜手三星和英特爾共同開發,Tizen 曾被三星寄希望於挑戰 Android 和 iOS 的地位。
[attach]118323485[/attach]
然而 Tizen 一直在操作系統市場中艱難求生,三星曾經在東南亞及非洲部分地區推出過搭載 Tizen 系統的手機,但是銷量慘淡。此後除了部分低階手機,三星也沒有在其智慧手機中和平板電腦搭載 Tizen 系統,而是將其安裝到了一系列家電產品和可穿戴裝置中。

雖然 Tizen 的市佔率遠低於 Android ,但目前至少也有 3,000 萬台三星裝置執行 Tizen 系統,包括三星智慧電視、三星 Gear 智慧手錶以及在俄羅斯、印度等少數國家出售的三星手機。
[attach]118323488[/attach]
     三星還表示,將進一步拓展 Tizen 的應用範圍,除了在洗衣機和冰箱等三星智慧家居上搭載該系統,三星還計劃在今年銷售 1,000 萬台搭載 Tizen 系統的手機,以減少對 Android 系統的依賴。

但目前看來,已經準備在三星 Galaxy 系列上躍躍欲試的 Tizen 面臨著很大的安全問題。而 Amihai Neiderman 表示,在修正相關代碼之前,三星需要重新考慮在手機中安裝 Tizen 系統的計畫。
[attach]118323490[/attach]
三星裝置的資安漏洞最近頻頻被曝光,就在前幾天,瑞士安全顧問 Rafael Scheel 還展示了如何透過空中傳播的電視訊號攻擊三星智慧電視,他使用廉價的發射機將惡意命令嵌入數位視訊廣播(DVB-T)訊號中完成了攻擊。Rafael Scheel 稱這種攻擊可以讓駭客獲得 Root 根控制權,透過三星智慧電視的鏡頭和麥克風窺探和監控用戶。

而在一個月前,維基解密公布了一批美國中情局(CIA)文件,文件中透露早在 2014 年 CIA 和英國軍情五處(MI5)就聯手研究新技術「哭泣天使」(Weeping Angel),這項技術能讓三星智慧電視處於假關機(fake-off)狀態,讓用戶誤以為電視已關機,進而竊聽用戶對話,透過網路上傳到一個祕密的中情局伺服器上。三星隨後也回應稱:

    "保護用戶的隱私和保證裝置的安全是我們最優先考慮的事情。我們已了解了相關報導,目前正在對此展開緊急調查。"

值得一提的是,三星在上個月初組建了一個全球產品品質改進辦公室,負責提高產品品質和改進生產程序,以防止類似 Note 7 電池爆炸醜聞的發生,不知道上述這些資安漏洞屬不屬於這個辦公室的職責範圍呢?

三星自去年 Note 7 爆炸以來就危機不斷,股價大跌,李在鎔被捕,在最近發表新旗艦 Galaxy S8 和 Galaxy S8+ 後才開始讓三星展現一些出力挽狂瀾的勢頭,儘管資安漏洞幾乎是所有電子廠商都要面臨的問題,但三星想必也不希望在任何領域誕生第二個「Note 7」。
作者: scandragon    時間: 2017-4-7 10:12 PM

Samsung 還是做回生產的事情吧



歡迎光臨 伊莉討論區 (http://a401.file-static.com/) Powered by Discuz!