三星自家 Tizen 操作系统被轰史上最烂,存在严重资安漏洞

三星自家 Tizen 操作系统被轰史上最烂,存在严重资安漏洞

据 Fortune 报导,三星的 Tizen 操作系统近日被发现存在 40 多个安全漏洞,三星在一系列三星智慧电视、智慧手錶和 Z 系列手机上使用该系统,这些漏洞可能会让骇客更加容易远程攻击和控制装置。以色列资安研究人员 Amihai Neiderman 表示,这些漏洞会让数以百万计的电子装置面临风险。

儘管尚未确定是否已经有骇客利用 Tizen 系统中漏洞攻击装置,但资安研究人员 Amihai Neiderman 仍把这些安全漏洞定义为零日漏洞(指被发现后立即被恶意利用的资安漏洞),他还表示,在过去 8 个月的分析中,三星一直没有修复这些漏洞,而这些漏洞很可能是由于三星在产品测试中的编码错误引起的。

据介绍,该系统其中一个漏洞存在于 Tizen 软体商店中,骇客可以在软体更新时利用漏洞,在用户手机中植入流氓软体。儘管三星 Tizen 软体商店的软体要经过认证才能进行更新,但是利用这个漏洞就可以绕过三星的限制体系。

Amihai Neiderman 还表示,在传输重要数据的过程中,Tizen 操作系统甚至没有採取加密措施,其在加密需求方面做了很多错误的假设。Amihai Neiderman 还不忘对 Tizen 操作系统嘲讽一番,他在接受 Motherboard 採访时直言:

对于 Amihai Neiderman 的资安报告,三星一开始并没有做出回应,但随着更多媒体报导后,三星发表了一份声明称将会和 Amihai Neiderman 合作,以消除任何潜在的漏洞,言下之意即报告中的漏洞确实存在。

Tizen 是一款利用开放源代码的行动操作系统,可支持智慧手机、平板电脑、智慧电视等多种类型的装置, 由 Linux 联盟携手三星和英特尔共同开发,Tizen 曾被三星寄希望于挑战 Android 和 iOS 的地位。

三星自家 Tizen 操作系统被轰史上最烂,存在严重资安漏洞

搭载 Tizen 操作系统的三星 Z1 。

然而 Tizen 一直在操作系统市场中艰难求生,三星曾经在东南亚及非洲部分地区推出过搭载 Tizen 系统的手机,但是销量惨淡。此后除了部分低阶手机,三星也没有在其智慧手机中和平板电脑搭载 Tizen 系统,而是将其安装到了一系列家电产品和可穿戴装置中。

虽然 Tizen 的市佔率远低于 Android ,但目前至少也有 3,000 万台三星装置执行 Tizen 系统,包括三星智慧电视、三星 Gear 智慧手錶以及在俄罗斯、印度等少数国家出售的三星手机。

三星自家 Tizen 操作系统被轰史上最烂,存在严重资安漏洞

搭载 Tizen 系统的 Gear S2。

三星还表示,将进一步拓展 Tizen 的应用範围,除了在洗衣机和冰箱等三星智慧家居上搭载该系统,三星还计划在今年销售 1,000 万台搭载 Tizen 系统的手机,以减少对 Android 系统的依赖。

但目前看来,已经準备在三星 Galaxy 系列上跃跃欲试的 Tizen 面临着很大的安全问题。而 Amihai Neiderman 表示,在修正相关代码之前,三星需要重新考虑在手机中安装 Tizen 系统的计画。

三星自家 Tizen 操作系统被轰史上最烂,存在严重资安漏洞

2015 年 MWC 大会上的 Tizen 展台。

三星装置的资安漏洞最近频频被曝光,就在前几天,瑞士安全顾问 Rafael Scheel 还展示了如何透过空中传播的电视讯号攻击三星智慧电视,他使用廉价的发射机将恶意命令嵌入数位视讯广播(DVB-T)讯号中完成了攻击。Rafael Scheel 称这种攻击可以让骇客获得 Root 根控制权,透过三星智慧电视的镜头和麦克风窥探和监控用户。

而在一个月前,维基解密公布了一批美国中情局(CIA)文件,文件中透露早在 2014 年 CIA 和英国军情五处(MI5)就联手研究新技术「哭泣天使」(Weeping Angel),这项技术能让三星智慧电视处于假关机(fake-off)状态,让用户误以为电视已关机,进而窃听用户对话,透过网路上传到一个祕密的中情局伺服器上。三星随后也回应称:

值得一提的是,三星在上个月初组建了一个全球产品品质改进办公室,负责提高产品品质和改进生产程序,以防止类似 Note 7 电池爆炸丑闻的发生,不知道上述这些资安漏洞属不属于这个办公室的职责範围呢?

三星自去年 Note 7 爆炸以来就危机不断,股价大跌,李在镕被捕,在最近发表新旗舰 Galaxy S8 和 Galaxy S8+ 后才开始让三星展现一些出力挽狂澜的势头,儘管资安漏洞几乎是所有电子厂商都要面临的问题,但三星想必也不希望在任何领域诞生第二个「Note 7」。

上一篇: 下一篇: