พูดกับนักวิจัยด้านความปลอดภัยของอิสราเอล Amihai Neiderman แห่ง Equus Software, เมนบอร์ดบอกเราว่าในปัจจุบันมีช่องโหว่ความปลอดภัย 40 ช่องโหว่ที่ไม่ได้รับการรายงานซึ่งจะอนุญาตให้มีการดำเนินการจากระยะไกลและแฮ็คทีวีซัมซุง ข้อกล่าวหาที่รุนแรงยิ่งขึ้นเกี่ยวกับวิธีและเหตุผลที่อยู่เบื้องหลังการหาประโยชน์เหล่านี้จำนวนมาก
อาจเป็นรหัสที่แย่ที่สุดที่ฉันเคยเห็น
ในขณะที่ซัมซุงอาจไม่คิดที่จะเปลี่ยน Android เป็น Tizen บนโทรศัพท์และแท็บเล็ต แต่ระบบนิเวศในปัจจุบันกำลังจะขยายตัวครั้งใหญ่: Samsung มุ่งมั่นที่จะใช้ Tizen บนอุปกรณ์สมาร์ททุกเครื่องที่ขายไปในอนาคต ตู้เย็นอัจฉริยะเสียงเหมือนความคิดที่ดีจนกว่าจะมีใครแฮ็คอีเมลของคุณผ่านหนึ่ง
มันอาจเป็นรหัสที่แย่ที่สุดที่ฉันเคยเห็น Neiderman บอกกับเมนบอร์ด ทุกสิ่งที่คุณสามารถทำผิดที่นั่นพวกเขาทำ คุณจะเห็นว่าไม่มีใครที่มีความเข้าใจเรื่องความปลอดภัยดูที่รหัสนี้หรือเขียนมัน มันเหมือนกับการเรียนระดับปริญญาตรีและปล่อยให้เขาเขียนโปรแกรมซอฟต์แวร์ของคุณ
โครงการซอฟต์แวร์ขนาดใหญ่ใด ๆ จะมีส่วนแบ่งที่เป็นธรรมของข้อบกพร่องและการใช้ประโยชน์ ในขณะที่บางคนจริงจังมากกว่าคนอื่น ๆ นักวิจัยส่วนใหญ่ไม่ได้มองที่ Tizen เช่นเดียวกับที่พวกเขาให้ความสำคัญกับ Android, iOS และ Windows ส่วนใหญ่เป็นเพราะซัมซุงจะขายโทรศัพท์ Galaxy S8 มากขึ้นในสัปดาห์เดียวที่มีแนวโน้มว่าจะขายโทรศัพท์ที่ใช้ Tizen แต่นั่นสามารถมองเห็นกลุ่มผลิตภัณฑ์ที่ประสบความสำเร็จของ Samsung หลายรุ่นรวมถึง Gear S3 smartwatch ที่พวกเราหลายคนมีบนข้อมือของเราตอนนี้ Neiderman ดำเนินการต่อด้วยเฉดสีที่รุนแรงต่อทีมพัฒนาของ Tizen สำหรับ Samsung
กล่าวว่าฐานรหัส Tizen ส่วนใหญ่เก่าและยืมมาจากโครงการเข้ารหัสของ Samsung ก่อนหน้านี้รวมถึง Bada ซึ่งเป็นระบบปฏิบัติการโทรศัพท์มือถือก่อนหน้านี้ที่ Samsung หยุดผลิต
แต่ช่องโหว่ส่วนใหญ่ที่เขาพบนั้นจริง ๆ แล้วเป็นรหัสใหม่ที่เขียนขึ้นโดยเฉพาะสำหรับ Tizen ภายในสองปีที่ผ่านมา หลายคนเป็นความผิดพลาดของโปรแกรมเมอร์เมื่อยี่สิบปีที่แล้วซึ่งบ่งชี้ว่า Samsung ขาดการพัฒนาโค้ดขั้นพื้นฐานและการทบทวนเพื่อป้องกันและจับข้อบกพร่องดังกล่าว
สิ่งนี้น่าเป็นห่วงมากเนื่องจากหลายสาเหตุ ประการแรกรหัส Samsung เพิ่มลงใน Android ไม่มีกระบวนการตรวจสอบโดยเพื่อนเนื่องจากไม่ใช่โอเพ่นซอร์ส หากซัมซุงอ้างว่าขาดเทคนิคการเขียนและตรวจสอบความผิดพลาดประเภทเดียวกันอาจมีอยู่มากมายในพอร์ต Android แม้ว่าจะไม่ใช่ในกรณีนี้นาฬิกาตระกูล Samsung Gear นั้นเชื่อมต่อกับอุปกรณ์ Android จำนวนไม่มากและแบ่งปันข้อมูลจำนวนมากที่สามารถเปิดให้ใครบางคนด้วยเครื่องมือที่เหมาะสมและความรู้เล็กน้อย
ผู้โจมตีสามารถติดตั้งซอฟต์แวร์ที่ต้องการผ่านแอปพลิเคชัน TizenStore
แม้แต่ข้อมูลทางการเงินที่ผ่านการโทเค็นผ่าน Samsung Pay ก็ต้องใช้ชีวิตบนนาฬิกาของคุณในระดับหนึ่งแม้ว่าจะนานพอที่จะส่งไปยังเครื่องชำระเงินหรือกลับไปที่ธนาคารของคุณ โชคดีที่มันถูกเก็บไว้เป็นวิธีที่ทำให้ไร้ค่าส่วนใหญ่โดยไม่ต้องใช้คีย์ในการถอดรหัสและอ้างอิงถึงสิ่งที่โทเค็นใช้
ทั้งหมดนี้คือปัญหาที่ใหญ่ที่สุดคือปัญหากับ Tizen application store และ installer
ช่องโหว่ด้านความปลอดภัยหนึ่งช่องที่ Neiderman เปิดเป็นสิ่งสำคัญอย่างยิ่ง มันเกี่ยวข้องกับแอพ TizenStore ของ Samsung ซึ่งเป็นเวอร์ชัน Google Play Store ของ Samsung ซึ่งมีแอพและซอฟต์แวร์อัปเดตไปยังอุปกรณ์ Tizen Neiderman กล่าวว่าข้อบกพร่องในการออกแบบทำให้เขาสามารถขโมยซอฟต์แวร์เพื่อส่งโค้ดที่เป็นอันตรายไปยัง Samsung TV ของเขาได้
นี่คือการแสดงที่หยุด แอป TizenStore ทำงานด้วยสิทธิพิเศษของระบบและสามารถติดตั้งและรันอะไรก็ได้โดยไม่มีการป้อนข้อมูลสำรองจากผู้ใช้ การไฮแจ็กกระบวนการนี้และใช้เพื่อติดตั้งเครื่องมือสำหรับการเข้าถึงระยะไกลและให้สิทธิ์ระบบแก่พวกเขาหมายความว่าผู้โจมตีสามารถทำอะไรก็ได้ที่พวกเขาต้องการ อุปกรณ์ทุกชิ้นที่สามารถเข้าถึง TizenStore หรือวิธีอื่นในการติดตั้งแอปพลิเคชัน Tizen อาจมีความเสี่ยงรวมถึงตระกูล Samsung Gear
เราไม่แนะนำให้ใครโยนนาฬิกาหรือโทรทัศน์ออกไป เราได้ติดต่อกับ Samsung ซึ่งบอกว่ามาเธอร์บอร์ดได้ทำงานร่วมกับ Neiderman เพื่อให้ได้ทุกอย่างอย่างสมบูรณ์และเราจะอัปเดตเมื่อเราได้ยินอะไรบางอย่าง
สำหรับตอนนี้ใช้ความระมัดระวังแบบเดียวกับที่คุณใช้กับคอมพิวเตอร์ Windows หรือเมื่อใช้งานแอปพลิเคชัน Android ในขณะที่คุณกำลังใช้แกดเจ็ตที่ขับเคลื่อนโดย Tizen
