في حديث مع باحثة الأمن الإسرائيلية Amihai Neiderman من شركة Equus Software ، تخبرنا اللوحة الأم أن هناك حاليًا 40 نقطة ضعف أمنية لم يتم الإبلاغ عنها تسمح بالتنفيذ عن بعد والتسلل إلى كل جهاز تلفزيون أو ساعة أو هاتف Samsung يستخدم Tizen كنظام تشغيل. الأخطر من ذلك هو بعض الادعاءات حول كيفية وسبب وراء العديد من هذه الاستغلالات.
قد يكون أسوأ رمز رأيته في حياتي.
على الرغم من أن Samsung قد لا تفكر في استبدال Android بـ Tizen على هواتفها والأجهزة اللوحية ، إلا أن النظام البيئي الحالي على وشك التوسع بشكل كبير: تلتزم Samsung باستخدام Tizen على معظم الأجهزة الذكية التي تبيعها للمضي قدمًا. تبدو الثلاجات الذكية فكرة رائعة إلى أن يقوم شخص ما باختراق بريدك الإلكتروني من خلال واحدة.
قد يكون أسوأ رمز رأيته ، يقول نييدرمان للوحة الأم. كل ما يمكنك فعله خطأ هناك ، يفعلون ذلك. يمكنك أن ترى أنه لا أحد لديه أي فهم للأمن نظر إلى هذا الرمز أو كتبه. الأمر يشبه الحصول على شهادة جامعية والسماح له ببرمجة برنامجك.
سيكون لأي مشروع برمجي كبير نصيبه العادل من الأخطاء والاستغلالات. في حين أن البعض أكثر خطورة من الآخرين ، فإن معظم الباحثين لا ينظرون إلى Tizen بنفس الطريقة التي يركزون بها على Android و iOS و Windows. هذا إلى حد كبير لأن سامسونج ستبيع المزيد من هواتف Galaxy S8 في غضون أسبوع من المحتمل أن تبيعها من الهواتف التي تشغل Tizen. لكن ذلك يطل على العديد من خطوط الإنتاج الناجحة من سامسونج بما في ذلك ساعة ذكية Gear S3 التي لدى الكثير منا على معصمنا الآن. يمضي نيدرمان بظلاله الخطيرة تجاه فريق تطوير سامسونج لتزن.
يقول أن الكثير من قاعدة كود Tizen قديمة وتقترض من مشروعات ترميز Samsung السابقة ، بما في ذلك Bada ، وهو نظام تشغيل سابق للهاتف المحمول توقفت عليه Samsung.
لكن معظم نقاط الضعف التي وجدها كانت في الواقع في كود جديد كتب خصيصًا لـ Tizen خلال العامين الماضيين. كثير منهم من نوع الأخطاء التي ارتكبها المبرمجون منذ عشرين عامًا ، مما يشير إلى أن سامسونج تفتقر إلى ممارسات تطوير الكود ومراجعتها الأساسية لمنع مثل هذه العيوب والتقاطها.
هذا مثير للقلق بشكل خاص لعدة أسباب. أولاً ، الكود الذي تضيفه Samsung إلى Android لا يوجد لديه عملية مراجعة النظراء لأنه غير مفتوح المصدر. إذا كانت شركة Samsung ، كما يزعم ، غير موجودة عندما يتعلق الأمر بتقنيات الترميز والمراجعة ، يمكن أن تكون نفس النوع من الأخطاء وفيرة في محفظة Android ، أيضًا. حتى لو لم يكن الأمر كذلك ، فإن مجموعة ساعات Samsung Gear متصلة ببعض الأجهزة التي تعمل بنظام Android وتشترك في الكثير من المعلومات التي يمكن أن تكون مفتوحة لشخص ما لديه الأدوات المناسبة والقليل من المعرفة.
يمكن للمهاجم تثبيت أي برنامج يحلو له من خلال تطبيق TizenStore.
حتى البيانات المالية الرمزية من خلال Samsung Pay يجب أن تعيش على ساعتك على مستوى ما ، حتى لو كانت طويلة بما يكفي للإرسال إلى محطة دفع أو العودة إلى المصرف الذي تتعامل معه. لحسن الحظ ، يتم تخزينه بطريقة تجعله عديم القيمة في الغالب بدون مفاتيح لفك تشفيره وإشارة إلى ما هو الرمز المميز.
كل هذا جانباً ، المشكلة الأكبر هي مشكلة في متجر تطبيقات Tizen والمثبّت.
كان أحد الثغرات الأمنية التي كشف عنها نيدرمان حرجاً للغاية. يتضمن تطبيق TizenStore من سامسونج - إصدار Samsung من متجر Google Play - الذي يوفر التطبيقات وتحديثات البرامج لأجهزة Tizen. يقول نيديرمان إن الخلل في تصميمه سمح له باختطاف البرنامج لإيصال تعليمات برمجية ضارة إلى تلفزيون Samsung الخاص به.
هذا هو سدادة المعرض. يتم تشغيل تطبيق TizenStore بامتيازات النظام المطلقة ويمكنه تثبيت وتشغيل أي شيء دون إدخال ثانوي من المستخدم. اختطاف هذه العملية واستخدامها لتثبيت أدوات للوصول عن بعد ومنحها امتيازات النظام يعني أن المهاجم يمكنه فعل أي شيء يحبه. يحتمل أن يكون كل جهاز لديه حق الوصول إلى TizenStore أو أي طريقة أخرى لتثبيت تطبيقات Tizen عرضة للخطر ، بما في ذلك عائلة Samsung Gear.
نحن لا ننصح أي شخص بطرد ساعته أو التلفزيون. لقد تواصلنا مع Samsung ، التي تخبر Motherboard بأنها تعمل مع Neiderman للحصول على كل شيء في الشكل ، وسوف نقوم بالتحديث عندما نسمع شيئًا ما.
في الوقت الحالي ، توخى نفس الحذر الذي تتبعه عند استخدام جهاز كمبيوتر يعمل بنظام Windows أو عند تحميل تطبيقات Android أثناء استخدامك للأدوات الذكية التي تدعم Tizen.
