> > > > Traum für Hacker: Samsungs Tizen offenbart eklatante Sicherheitslücken (Update)

Traum für Hacker: Samsungs Tizen offenbart eklatante Sicherheitslücken (Update)

Veröffentlicht am: von

samsung In der Öffentlichkeit spielt Tizen nach wie vor keine Rolle. Zwar setzt Samsung das ursprünglich einmal als Alternative zu Android und seinen Ablegern vorgesehene Betriebssystem in zahlreichen Geräten ein, doch wirklich beworben wird die Plattform nicht. Vielleicht auch deshalb hat Tizen es bislang nicht in den Fokus von Sicherheitsexperten geschafft. Das hat sich nun geändert – mit desaströsen Ergebnissen.

Im Rahmen des Kaspersky Lab's Security Analyst Summit stellte der israelische Forscher Amihai Neiderman seine Erkenntnisse vor, dem Magazin Motherboard verriet er sie bereits vorab. Sein Fazit: „Das könnte der schlimmste Code sein, den ich jemals gesehen habe."

Als Grund für diese Einschätzung nennt Neiderman nicht nur die pure Anzahl der Lücken, sondern auch deren Tragweite. „Alles, was man falsch machen kann, haben sie falsch gemacht. Man kann erkennen, dass niemand mit Ahnung von Sicherheit den Code geschrieben oder ihn angeschaut hat", so seine wenig schmeichelhafte Einschätzung.

Alle von ihm entdeckten Lücken könnten dafür genutzt werden, um die Kontrolle über das jeweilige Gerät zu übernehmen. Besonders schwerwiegend sei aber ein anderes Sicherheitsproblem. Das betrifft ausgerechnet den in Tizen integrierten App Store. Über die Lücke sei es ihm möglich gewesen, eigenen Code einzuspielen. Die eigentliche Schutzmaßnahme – das Akzeptieren von nur korrekt signiertem Code durch den App Store – konnte damit ausgehebelt werden. Erschwerend kommt laut Neiderman hinzu, dass der App Store selbst mit den höchsten Zugangsberechtigung operiert, was aufgrund seiner eigentlichen Aufgabe auch notwendig sei. Allerdings sei es damit möglich, das gesamte System mit Schadcode zu infizieren – mit allen erdenklichen Folgen.

Eine einzige Erklärung für all die Probleme hat Neiderman nicht. Denn am Ende, so seine Einschätzung, hätten mehrere, teils voneinander unabhängige Nachlässigkeiten, zu dieser Quantität und Qualität der Gefährdungen geführt. Teilweise sei er auf Fehler gestoßen, die eigentlich für Entwickler vor 20 Jahren typisch gewesen seien. Ebenso würde SSL nicht flächendecken, sondern nur punktuell genutzt werden. Eine Rolle spielt ihm zufolge aber auch Samsungs Ansatz, Bada soweit wie möglich in Tizen zu integrieren. Mit Bada wollte Samsung 2010 zum ersten Mal probieren, die Abhängigkeit von Android zu verringern, 2013 erfolgte dann jedoch das Aus. Als Gründe hierfür wurden die geringe Akzeptanz sowie die besseren Aussichten anderer Plattformen genannt. Die Wahl fiel im folgenden auf Tizen, ein zuvor schon von Intel und der Linux Foundation vorangetriebenes Projekt. Samsung entpuppte sich hier schnell als treibende Kraft.

Inzwischen wird das Betriebssystem von Samsung in Fernsehern und Smartwatches eingesetzt, Smartphone-Pläne wurden ebenfalls umgesetzt – wenn auch nur in in bestimmten Regionen. Neiderman selbst begann die Untersuchung des Codes auf einem von ihm erworbenen Fernseher, nach dem Auftauchen diverse Lücken weitete er seine Forschung aber auf Smartphones aus. Dabei stellte er fest, dass die Probleme unabhängig vom genutzten Gerät vorhanden seien, dementsprechend sind auch Smartwatches wie die Gear S3 betroffen.

Auf die Lücken hat Neiderman Samsung bereits vor Monaten hingewiesen, eine nennenswerte Reaktion hätte es aber nicht gegeben. Erst mit der Veröffentlichung seiner Ergebnisse hätte das Unternehmen reagiert: Man tausche sich mit dem Experten aus.

Update

Laut Samsung sind die Ausmaße der Sicherheitslücken geringer als bislang angenommen. Nach eigenen Angaben sind weder Wearables, noch Smart-TVs davon betroffen. Dabei bezieht man sich auf Untersuchungen des Samsung Visual Display Business Security Team. Dies ist zu dem Ergebnis gekommen, dass nur ein bestimmter Open-Source-Code des Betriebssystems die entdeckten Schwachstellen enthält, der letztlich aber nicht bei allen Tizen-Geräten verwendet wird.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (4)

#1
customavatars/avatar41359_1.gif
Registriert seit: 09.06.2006

Admiral
Beiträge: 28940
Link geht .. (noch) nicht ... klick, klick.
#2
customavatars/avatar80622_1.gif
Registriert seit: 23.12.2007
Köln
Flottillenadmiral
Beiträge: 5359
Ich habe und hatte ja einige Samsung Geräte. Und war soweit auch mit allen sehr zufrieden.
Aber den Smart-TV könnte ich täglich mindestens einmal aus dem Fenster werfen. Bild, Ton und Verarbeitung sind zwar echt gut aber dieses Betriebssystem...Meine Fresse. Immer wieder irgendwelche Hänger, keine Reaktion auf Eingaben, selbstständiges Ein- und Ausschalten, Abstürze/Aufhängen der Netflix-App, nach der man gezwungen ist, den TV vom Strom zu trennen, damit diese wieder läuft. Dank unerwartetem Krankenhaus-Aufenthalt konnte ich das Teil auch nicht innerhalb der 14 Tage wieder zurück schicken. :( Auf Updates wartet man wohl vergeblich...
#3
customavatars/avatar54828_1.gif
Registriert seit: 01.01.2007
Exil
Der Saft ist mit euch!
Beiträge: 8477
Dabei ist Tizen noch eines der besseren Systeme. Mal einen LG TV mit webOS benutzt? Da haste das Gefühl, das Teil läuft auf einem AMD Duron...
#4
customavatars/avatar80622_1.gif
Registriert seit: 23.12.2007
Köln
Flottillenadmiral
Beiträge: 5359
Na ja. Ich bin sogar hingegangen und habe nen Switch gesetzt und neue Kabel für TV und Box gezogen, weil ich die Befürchtung hatte, das das Ding vielleicht ein schlechtes WLan-Modul verbaut hat.
Und dann lese ich im Nachhinein so viel Crap über die Samsung TVs. Warum lese ich sowas nicht, als ich nach dem TV suche? Und da habe ich schon explizit nach Tests/Reviews gegoogelt. :fresse:
Der günstigere aber größere 4K Medion TV meines Vaters schnurrt dagegen wie ein Kätzchen. Da bleibt mir wohl nur abwarten und auf Updates hoffen...
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Meltdown- und Spectre-Patches für Windows, macOS und Linux

Logo von IMAGES/STORIES/2017/INTEL

Nachdem wir uns die Details zu den Sicherheitslücken Spectre und Meltdown nun genauer angeschaut haben, einige Benchmarks präsentieren konnten und eine Analyse mit der Beantwortung der wichtigsten Fragen gemacht haben, stellt sich vielen sicherlich die Frage, für welche Software es denn nun... [mehr]

Microsoft Windows 10 Fall Creators Update steht bereit

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft hat das fünfte größere Update für Windows 10 veröffentlicht. Das passend zur Jahreszeit Fall Creators Update getaufte Release kann seit heute Nachmittag als ISO direkt bei Microsoft heruntergeladen werden und wird ab sofort auch schrittweise auf bestehenden Windows-10-Systemen... [mehr]

Polaris oder Schalter: Microsoft arbeitet an Nachfolger für Windows 10 S

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Nicht einmal ein Jahr nach der Vorstellung von Windows 10 S droht das möglicherweise schnelle Aus. Denn seit einigen Tagen mehren sich die Meldungen, dass Microsoft an möglichen Alternativen arbeitet, die unterschiedlicher nicht sein könnten. Die eine würde aus der eigenständigen Version... [mehr]

Ohne Tamtam: Windows 10 Fall Creators Update beinhaltet Anti-Cheat-Tool

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft hat viele der Neuerungen, welche durch das Windows 10 Fall Creators Update eingeführt wurden, groß beworben. Erschienen ist die Aktualisierung in dieser Woche, um genau zu sein am 17. Oktober 2017. Wenig gesprochen haben die Redmonder überraschenderweise über TruePlay. Dabei... [mehr]

Leak: 32 TB an Windows-10-Sourcecode veröffentlicht

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Für Unternehmen wie Microsoft ist der Sourcecode der eigenen Software das wichtigste Gut – Grundstein des wichtigsten Produktes und damit essentieller Bestandteil der Entwicklung, den man keinesfalls in den Händen der Konkurrenz sehen möchte. Doch offenbar ist nun genau das passiert, denn... [mehr]

Windows 10: Spring Creators Update kommt als Version 1803

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft wird für Windows bald ein neues Update veröffentlichen. Das Update mit dem Codenamen Redstone 4 wird von Microsoft inzwischen auch als Versionsnummer 1803 geführt und soll einige Verbesserungen mitbringen. Das sogenannte Spring Creators Update soll nach derzeitigen Planungen im April... [mehr]