据 Fortune 报导,三星的 Tizen 操作系统近日被发现存在 40 多个安全漏洞,三星在一系列三星智慧电视、智慧手表和 Z 系列手机上使用该系统,这些漏洞可能会让骇客更加容易远程攻击和控制装置。以色列资安研究人员 Amihai Neiderman 表示,这些漏洞会让数以百万计的电子装置面临风险。
尽管尚未确定是否已经有骇客利用 Tizen 系统中漏洞攻击装置,但资安研究人员 Amihai Neiderman 仍把这些安全漏洞定义为零日漏洞(指被发现后立即被恶意利用的资安漏洞),他还表示,在过去 8 个月的分析中,三星一直没有修复这些漏洞,而这些漏洞很可能是由于三星在产品测试中的编码错误引起的。
据介绍,该系统其中一个漏洞存在于 Tizen 软件商店中,骇客可以在软件更新时利用漏洞,在用户手机中植入流氓软件。尽管三星 Tizen 软件商店的软件要经过认证才能进行更新,但是利用这个漏洞就可以绕过三星的限制体系。
Amihai Neiderman 还表示,在传输重要数据的过程中,Tizen 操作系统甚至没有采取加密措施,其在加密需求方面做了很多错误的假设。Amihai Neiderman 还不忘对 Tizen 操作系统嘲讽一番,他在接受 Motherboard 采访时直言:
三星的开源 Tizen 操作系统中的代码可能是我见过的最烂的代码,编写者对安全性没有任何了解,就像在校大学生的程式设计作品。
对于 Amihai Neiderman 的资安报告,三星一开始并没有做出回应,但随着更多媒体报导后,三星发表了一份声明称将会和 Amihai Neiderman 合作,以消除任何潜在的漏洞,言下之意即报告中的漏洞确实存在。
Tizen 是一款利用开放源代码的行动操作系统,可支持智能手机、平板电脑、智慧电视等多种类型的装置, 由 Linux 联盟携手三星和英特尔共同开发,Tizen 曾被三星寄希望于挑战 Android 和 iOS 的地位。
▲ 搭载 Tizen 操作系统的三星 Z1 。(Source:Flickr/Kārlis Dambrāns CC BY 2.0)
然而 Tizen 一直在操作系统市场中艰难求生,三星曾经在东南亚及非洲部分地区推出过搭载 Tizen 系统的手机,但是销量惨淡。此后除了部分低阶手机,三星也没有在其智能手机中和平板电脑搭载 Tizen 系统,而是将其安装到了一系列家电产品和可穿戴装置中。
虽然 Tizen 的市占率远低于 Android ,但目前至少也有 3,000 万台三星装置执行 Tizen 系统,包括三星智慧电视、三星 Gear 智慧手表以及在俄罗斯、印度等少数国家出售的三星手机。
▲ 搭载 Tizen 系统的 Gear S2。(Source:Flickr/Kārlis Dambrāns CC BY 2.0)
三星还表示,将进一步拓展 Tizen 的应用范围,除了在洗衣机和冰箱等三星智慧家居上搭载该系统,三星还计划在今年销售 1,000 万台搭载 Tizen 系统的手机,以减少对 Android 系统的依赖。
但目前看来,已经准备在三星 Galaxy 系列上跃跃欲试的 Tizen 面临着很大的安全问题。而 Amihai Neiderman 表示,在修正相关代码之前,三星需要重新考虑在手机中安装 Tizen 系统的计划。
▲ 2015 年 MWC 大会上的 Tizen 展台。(Source:Flickr/Kārlis Dambrāns CC BY 2.0)
三星装置的资安漏洞最近频频被曝光,就在前几天,瑞士安全顾问 Rafael Scheel 还展示了如何透过空中传播的电视讯号攻击三星智慧电视,他使用廉价的发射机将恶意命令嵌入数位视讯广播(DVB-T)讯号中完成了攻击。Rafael Scheel 称这种攻击可以让骇客获得 Root 根控制权,透过三星智慧电视的镜头和麦克风窥探和监控用户。
而在一个月前,维基解密公布了一批美国中情局(CIA)文件,文件中透露早在 2014 年 CIA 和英国军情五处(MI5)就联手研究新技术“哭泣天使”(Weeping Angel),这项技术能让三星智慧电视处于假关机(fake-off)状态,让用户误以为电视已关机,进而窃听用户对话,透过网络上传到一个秘密的中情局服务器上。三星随后也回应称:
保护用户的隐私和保证装置的安全是我们最优先考虑的事情。我们已了解了相关报导,目前正在对此展开紧急调查。
值得一提的是,三星在上个月初组建了一个全球产品品质改进办公室,负责提高产品品质和改进生产程序,以防止类似 Note 7 电池爆炸丑闻的发生,不知道上述这些资安漏洞属不属于这个办公室的职责范围呢?
三星自去年 Note 7 爆炸以来就危机不断,股价大跌,李在镕被捕,在最近发表新旗舰 Galaxy S8 和 Galaxy S8+ 后才开始让三星展现一些出力挽狂澜的势头,尽管资安漏洞几乎是所有电子厂商都要面临的问题,但三星想必也不希望在任何领域诞生第二个“Note 7”。
- Samsung’s TV and watch OS is reportedly full of security holes
(本文由 爱范儿 授权转载;首图来源:Tizen)
