最近公布的 CIA 资料揭示了情报机构入侵三星智能电视的能力,但三星生态系统的缺陷似乎更加深入。安全研究人员准备公布三星 Tizen 操作系统当中多达 40 个零日漏洞。
三星在一系列电视,智能手机和手机上使用 Tizen 操作系统,这些漏洞将允许攻击者远程攻击设备。
Tizen 在大约 3000 万台电视机上运行,而三星计划到今年年底前有 1000 万部手机运行该系统。三星已经试图全面转移到 Tizen 上,以此减少对 Google Android 的依赖,但很显然,已经为三星 Galaxy 系列等设备做好准备的 Tizen 并不安全。
以色列研究员 Amihai Neiderman 称三星的开源 Tizen 操作系统当中的代码可能是他见过的最糟糕代码,编写者对安全性没有任何了解,就像没毕业本科生的编程作品。
Neiderman 称,三星的开源操作系统 Tizen 存在大量安全漏洞,“在每一个你能犯错的地方,他们都犯了。”Neiderman 称他发现的大部分漏洞都是近期写的新代码。举例来说,缓冲溢出问题多是因为不正确使用 strcpy() 函数导致的,为了避免这个问题开发者多数会选择使用替代函数,但三星的 Tizen 开发者几乎将这个函数用在任何地方。三星的代码还被发现没有以一致的方式使用 SSL,它甚至以明文方式传输敏感信息。
Neiderman 在 Tizen 操作系统当中发现了一些可以远程触发的漏洞,但其中一个漏洞似乎是三星操作系统的主要安全问题,这个漏洞让攻击者劫持电视并安装恶意代码,允许任何黑客通过 TizenStore 软件完全控制电视。在星期一的卡巴斯基实验室安全分析师峰会上,Neiderman 计划充分说明他的发现。
三星最初通过自动化的电子邮件回复回应了 Neiderman,但是媒体报道之后,该公司表示完全致力于与 Neiderman 先生合作,消灭任何潜在的漏洞。
本文来自开源中国社区 [http://www.oschina.net]
