‘Samsung’s Tizen bevat tientallen beveiligingsproblemen’
Tizen, het besturingsysteem waarop onder andere smartwatches en smart tv’s van Samsung draaien, bevat een groot aantal beveiligingsproblemen. In totaal gaat het om veertig verschillende kwetsbaarheden.
De problemen zijn ontdekt door beveiligingsonderzoeker Amihai Neiderman. Neiderman, werkzaam bij het Israëlische Equus Software, uit tegenover Motherboard felle kritiek op Samsung en noemt Tizen misschien wel de slechtste code die hij ooit heeft gezien. “Alles wat je fout kunt doen, doen zij (red: Samsung) ook. Je kunt zien dat niemand met enig verstand van security naar deze code heeft gekeken of deze heeft geschreven. Dit is vergelijkbaar met het laten programmeren van je software door een student”, aldus Neiderman.
Code op afstand uitvoeren
Alle kwetsbaarheden kunnen volgens de onderzoeker worden misbruikt om op afstand code uit te voeren op Samsung apparaten die op Tizen draaien. Daarnaast is het mogelijk de apparaten op afstand over te nemen. Daarnaast merkt Neiderman op dat veel beveiligingsproblemen fouten zijn die ontwikkelaars twintig jaar geleden maakte.
Een kwetsbaarheid baart Neiderman de meeste zorgen. Het gaat om een beveiligingsprobleem in de TizenStore app, Samsung’s versie van Google Play Store. Door een kwetsbaarheid in de TizenStore app is Neiderman erin geslaagd via de appwinkel malafide code op zijn Samsung TV te krijgen. “Je kunt een Tizen systeem met iedere malafide code updaten die je maar wilt”, aldus de onderzoeker.
Authentificatiefunctie omzeilen
Overigens hanteert de TizenStore wel een authentificatiefunctie die zeker moet stellen dat uitsluitend geautoriseerde Samsung software op het apparaat kan worden geïnstalleerd. Neiderman heeft echter een kwetsbaarheid gevonden waarmee het mogelijk is deze beveiligingsfeature te omzeilen.
Meer over
Lees ook
Europa moet de leiding nemen in de standaardisatie van cybersecurity
Europese Instituten zouden de leiding moeten nemen in het standaadiseren van cybersecurity. Dit stelt de Cyber Security Coordination Group (CSCG) in een whitepaper, die op verzoek van Eurocommissaris Neelie Kroes is opgesteld. De CSGS doet in de whitepaper negen aanbevelingen voor het standaardiseren van cybersecurity binnen Europa. "De CSCG moedi1
ETSI gaat standaarden ontwikkelen voor cybersecurity
Het European Telecommunications Standards Institute (ETSI) richt een technische commissie op standaarden gaat ontwikkelen voor cybersecurity. De commissie moet met transparante en betrouwbare standaarden komen om de digital markt veiliger te maken. De technische commissie Cybersecurity gaat standaarden ontwikkelen voor: Cybersecurity De beveiligi1
Amerikaanse overheid helpt bedrijven hun security te verbeteren met raamwerk
De Amerikaanse overheid publiceert een raamwerk dat bedrijven in kritieke sectoren moet helpen zichzelf beter te beschermen tegen cyberaanvallen. Het Framework for Improving Critical Infrastructure Cybersecurity is samengesteld door het National Institute of Standards and Technology (NIST). Het gebruik van het raamwerk is vrijwillig en dus niet ve1