O sistema operacional Tizen da Samsung baseado em Linux é um pesadelo de segurança

10 de abril de 2017

A Samsung tem trabalhado no Tizen nos últimos dois anos para substituir o Android. No entanto, parece que o trabalho que eles estão fazendo é muito mal feito.

O que é Tizen?

Sistema operacional móvel de código aberto Tizen OS

Tizen é um sistema operacional móvel de código aberto baseado em Linux que existe há 5 anos. Por volta de 2013, a Samsung começou a desenvolver seriamente em Tizen. O objetivo era criar uma alternativa viável ao Android.

A Samsung deseja uma alternativa ao Android devido ao relacionamento agressivo do Google com os fabricantes de dispositivos. Embora o Android possa ser gratuito e de código aberto, os aplicativos do Google que vêm em dispositivos Android (e os clientes não podem viver sem) são de código fechado. Se os fabricantes de dispositivos quiserem acessar os aplicativos do Google, eles devem se juntar à Open Handset Alliance. Os membros da OHA estão contratualmente proibidos de construir dispositivos não aprovados pelo Google.

Na verdade, isso é o que o Google tinha a dizer em uma postagem no blog:

Embora o Android permaneça gratuito para qualquer um usar como quiser, apenas os dispositivos compatíveis com Android se beneficiam de todo o ecossistema Android. Ao ingressar na Open Handset Alliance, cada membro contribui e constrói uma plataforma Android - não um monte de versões incompatíveis. Então, essencialmente, a Samsung quer uma maneira de continuar ganhando dinheiro se eles tiverem um desentendimento com o Google ou o Google simplesmente desaparecer.

Muitos problemas de segurança

Problemas de segurança do Tizen OS

Embora a Samsung possa ter boas intenções, eles têm muito trabalho pela frente. Recentemente, o pesquisador israelense Amihai Neiderman revelou que Tizen está cheio de falhas de segurança. Na verdade, ele revelou que havia descoberto 40 vulnerabilidades até então desconhecidas que permitiriam a um hacker assumir o controle de um dispositivo movido a Tizen.

Neidermen afirmou, Pode ser o pior código que eu já vi. Tudo o que você pode fazer de errado lá, eles fazem.

Uma boa parte da base de código do Tizen é retirada de vários projetos anteriores da Samsung, incluindo um sistema operacional móvel anterior chamado Bada. No entanto, a maior parte do código ruim foi escrita nos últimos dois anos e contém erros comuns há vinte anos.

Outro dos problemas descobertos foi que a loja de aplicativos integrada da Tizen operava no nível de privilégio mais alto. Isso permitiria a um hacker implantar código malicioso por meio do mecanismo de atualização. Embora Tizen tenha um programa de autenticação criado para evitar isso, Neidermen foi capaz de encontrar outra vulnerabilidade que deu a ele o controle para substituir o sistema de autenticação.

Também havia um problema com a forma como as comunicações eram protegidas. Às vezes SSL foi usado e às vezes não. Freqüentemente, os dados foram transferidos sem proteção.

Quantos afetados?

Felizmente, o Tizen viu apenas uma pequena implantação até agora. Existem atualmente 30 milhões de TVs inteligentes com tecnologia Tizen, bem como uma série de telefones e smartwatches. A maioria dos telefones e relógios foi vendida na Índia e na Rússia. Na CES 2017, a Samsung revelou planos de lançar uma série de dispositivos de Internet das Coisas (IoT) movidos a Tizen, incluindo o refrigerador inteligente Family Hub 2.0 e a máquina de lavar inteligente. Tizen também está disponível para Raspberry PI.

Problemas de segurança de IoT (e uma solução?)

! [IoT Security engraçado](Klossner-toaster-cartoon.webp) IoT Security engraçado Imagem cortesia: Klossner À medida que a IoT se torna mais avançada e mais integrada na vida diária, a segurança deve se tornar uma prioridade. Infelizmente, milhares de dispositivos estão abertos a ataques. Em 2013, um hacker de chapéu branco chamado Billy Rios descobriu que dispositivos médicos conectados à Internet em hospitais, como bombas de infusão ou monitores cardíacos, estavam abertos a ataques de hackers. Em um caso, as informações pessoais de um paciente foram descobertas no disco rígido de um analisador de gases sanguíneos.

Além do roubo de identidade, há também a preocupação de que os hackers possam transformar dispositivos IoT inseguros em sua própria rede de bot. Um hacker poderia usar essa rede de bot de baixa potência para derrubar sites com ataques de negação de serviço, basicamente sobrecarregando os servidores com muito tráfego.

Jornalista de tecnologia Bob Cringely tem uma solução para a ameaça de um botnet IoT morto-vivo. Ele sugere a criação de um protocolo separado que permite que os dispositivos IoT se dirijam uns aos outros, mas os torna incapazes de interferir ou mesmo ver o tráfego comum da Internet. Basicamente, os pacotes de informações para incomodar os dispositivos IoT e a Internet normal passariam um pelo outro, sem saber da existência um do outro. Haveria alguns gateways entre os dois grupos para permitir que eles se comunicassem e compartilhassem informações, mas sem fazer nada malicioso.

Pensamentos finais

Para parafrasear Full Metal Jacket, a Samsung tem um grande defeito em suas mãos. Seu assassino Android é o paraíso de um hacker.

Parece que a Samsung está enviando sinais mistos. Eles estão posicionando o Tizen para ser um substituto do Android em telefones, relógios e muito mais. Mas, por outro lado, sua versão mais recente está cheia de vulnerabilidades e códigos mal escritos. Parece que eles se acostumaram com outra pessoa criando o sistema operacional que não conseguem entregar um código competente.

A questão é: eles estão realmente interessados em entregar um sistema operacional ou o Tizen é apenas um pedaço de pau para segurar na cabeça do Google?

Pessoalmente, gostaria de dar uma chance ao Tizen porque gosto de brincar com coisas novas, mas vou deixar isso de lado por um tempo até que consertem seus problemas de código.

Você já usou o Tizen? O que você acha dessas notícias?

Se você achou este artigo interessante, compartilhe-o com seus amigos e familiares em seus sites de mídia social favoritos.

Confira também a versão original desse post em inglês
Esse post foi originalmente escrito por John Paul e publicado no site itsfoss.com. Tradução sujeita a revisão.

Samsung’s Linux Based Tizen OS Is A Security Nightmare

Propaganda
Blog Comments powered by Disqus.
Propaganda