Berbicara dengan peneliti keamanan Israel Amihai Neiderman dari Equus Software, Motherboard memberi tahu kami bahwa saat ini ada 40 kerentanan keamanan yang tidak dilaporkan yang akan memungkinkan eksekusi dan peretasan jarak jauh setiap TV Samsung, arloji atau telepon yang menggunakan Tizen sebagai sistem operasinya. Lebih serius adalah beberapa tuduhan tentang bagaimana dan mengapa di balik banyak eksploitasi ini.
Ini mungkin kode terburuk yang pernah saya lihat.
Sementara Samsung mungkin tidak berpikir untuk mengganti Android dengan Tizen di ponsel dan tabletnya, ekosistem saat ini akan diperluas secara besar-besaran: Samsung berkomitmen untuk menggunakan Tizen di hampir setiap alat pintar yang dijualnya kedepannya. Lemari es pintar terdengar seperti ide bagus sampai seseorang meretas surel Anda.
Ini mungkin kode terburuk yang pernah saya lihat, kata Neiderman pada Motherboard. Semua yang Anda bisa lakukan salah di sana, mereka melakukannya. Anda dapat melihat bahwa tidak seorang pun dengan pemahaman keamanan melihat kode ini atau menulisnya. Ini seperti mengambil sarjana dan membiarkannya memprogram perangkat lunak Anda.
Setiap proyek perangkat lunak besar akan memiliki bug dan eksploitasi yang adil. Sementara beberapa lebih serius daripada yang lain, sebagian besar peneliti tidak melihat Tizen dengan cara yang sama mereka berfokus pada Android, iOS, dan Windows. Itu sebagian besar karena Samsung akan menjual lebih banyak ponsel Galaxy S8 dalam seminggu yang kemungkinan akan pernah menjual ponsel yang menjalankan Tizen. Tapi itu mengabaikan beberapa lini produk Samsung yang sukses termasuk smartwatch Gear S3 yang banyak dari kita miliki di pergelangan tangan kita saat ini. Neiderman melanjutkan dengan naungan serius terhadap tim pengembangan Samsung untuk Tizen.
mengatakan banyak basis kode Tizen sudah tua dan meminjam dari proyek pengkodean Samsung sebelumnya, termasuk Bada, sistem operasi ponsel sebelumnya yang dihentikan Samsung.
Tetapi sebagian besar kerentanan yang ia temukan sebenarnya dalam kode baru yang ditulis khusus untuk Tizen dalam dua tahun terakhir. Banyak dari mereka adalah jenis kesalahan yang dibuat oleh programmer dua puluh tahun yang lalu, menunjukkan bahwa Samsung tidak memiliki pengembangan kode dasar dan praktik peninjauan untuk mencegah dan menangkap kekurangan tersebut.
Ini sangat mengkhawatirkan karena beberapa alasan. Pertama, kode yang ditambahkan Samsung ke Android tidak memiliki proses peer review karena bukan open source. Jika Samsung, seperti diklaim, kurang dalam hal teknik pengkodean dan peninjauan, jenis kesalahan yang sama bisa melimpah dalam portofolio Android-nya juga. Sekalipun ini bukan masalahnya, keluarga jam tangan Samsung Gear terhubung ke beberapa perangkat Android dan membagikan banyak informasi yang bisa dibuka untuk seseorang dengan alat yang tepat dan sedikit pengetahuan.
Penyerang dapat menginstal perangkat lunak apa pun yang mereka suka melalui aplikasi TizenStore.
Bahkan data keuangan yang dipatok melalui Samsung Pay harus tetap hidup di arloji Anda pada tingkat tertentu, meskipun hanya cukup lama untuk ditransmisikan ke terminal pembayaran atau kembali ke bank Anda. Untungnya, itu disimpan adalah cara yang membuatnya sebagian besar tidak berharga tanpa kunci untuk mendekripsi dan referensi untuk apa token itu.
Selain itu, masalah terbesar adalah masalah dengan toko aplikasi dan penginstal Tizen.
Satu lubang keamanan yang ditemukan Neiderman sangat penting. Ini melibatkan aplikasi TizenStore Samsung - Google Play Store versi Samsung - yang memberikan pembaruan aplikasi dan perangkat lunak ke perangkat Tizen. Neiderman mengatakan cacat dalam desainnya memungkinkan dia untuk membajak perangkat lunak untuk mengirimkan kode berbahaya ke TV Samsung-nya.
Ini adalah penghenti acara. Aplikasi TizenStore berjalan dengan hak istimewa sistem absolut dan dapat menginstal dan menjalankan apa pun tanpa input sekunder dari pengguna. Membajak proses ini dan menggunakannya untuk menginstal alat untuk akses jarak jauh dan memberi mereka hak istimewa sistem berarti penyerang dapat melakukan apa saja yang mereka suka. Setiap perangkat dengan akses ke TizenStore atau cara lain untuk menginstal aplikasi Tizen berpotensi rentan, termasuk keluarga Samsung Gear.
Kami tidak menyarankan siapa pun membuang jam tangan atau televisi mereka. Kami telah menjangkau Samsung, yang memberi tahu Motherboard bahwa ia bekerja dengan Neiderman untuk mendapatkan segalanya dalam bentuk, dan kami akan memperbarui ketika kami mendengar sesuatu.
Untuk saat ini, lakukan kehati-hatian yang sama dengan yang Anda lakukan dengan komputer Windows atau saat meminggirkan aplikasi Android saat Anda menggunakan gadget yang didukung Tizen.
