Abo
  • IT-Karriere:

Tizen-Betriebssystem: "Könnte der schlechteste Code sein, den ich je gesehen habe"

Samsungs Tizen-Betriebssystem soll zahlreiche Sicherheitslücken haben und schlampig entwickelt worden sein. Ein Sicherheitsforscher kritisiert, dass der Smartphonehersteller gängige Absicherungen nicht verwende und so Speicherfehler und ungesicherte Verbindungen provoziere.

Artikel veröffentlicht am ,
Ein Smartphone mit Tizen
Ein Smartphone mit Tizen (Bild: Karlis Dambrans/CC-BY 2.0)

Ein Sicherheitsforscher hat zahlreiche Sicherheitslücken in Samsungs Tizen-Betriebssystems gefunden. Die Eigenentwicklung von Samsung läuft in Deutschland vor allem auf Smart-TVs und Wearables, Samsung hat aber auch einige Smartphones mit dem Betriebssystem im Angebot.

Stellenmarkt
  1. DPD Deutschland GmbH, Aschaffenburg, Hamburg Kehrwieder
  2. GoDaddy, Ismaning

Derzeit gebe es rund 40 offene Schwachstellen: "Alles, was man falsch machen kann, ist auch falsch gemacht worden", sagte der Sicherheitsforscher Amihai Neiderman dem Portal Motherboard. "Es könnte der schlechteste Code sein, den ich jemals gesehen habe", sagte er weiter.

Der Sicherheitsforscher hat Samsung nach eigenen Angaben bereits vor einigen Monaten kontaktiert, aber nur eine automatische Antwort bekommen. Eine Anfrage von Motherboard wurde demnach ebenfalls nur mit einer Standardantwort beantwortet. Nach Veröffentlichung des Artikels habe Samsung sich gemeldet: Man werde im Rahmen des Smart-TV-Bug-Bounty-Programms mit dem Forscher zusammenarbeiten. Neiderman zufolge muss Samsung seinen Code komplett überarbeiten, um die Probleme beheben zu können.

Die Sicherheitslücken ermöglichen den Angaben von Neiderman zufolge jeweils die Ausführung von Code aus der Ferne. Ein Heap-Overflow in Samsungs eigenem Appstore soll es zum Beispiel ermöglichen, beliebige Software auf dem Gerät zu installieren. Die eigentlich vorgesehe Signaturprüfung wird dabei übergangen.

Laut Neidermann verwendet Samsung zahlreiche Codefragmente aus dem Tizen-Vorgänger Bada. Aktuell gängige Methoden zur Absicherung gegen Speicherfehler würden dabei nicht genutzt. Als Beispiel nennt Neidermann die Verwendung der Funktion Strcpy(), mit der Daten im Speicher repliziert werden können. Die Funktion prüft dabei allerdings nicht, ob am Zielort genügend freier Speicher vorhanden ist - und ist damit für einen Pufferüberlauf anfällig, der verschiedene Angriffe ermöglicht. Diese eigentlich wenig verwendete Funktion nutze Samsung sehr häufig.

Für die Übertragung wichtiger Daten werde zudem keine TLS-gesicherte Verbindung genutzt. "Es gibt eine Menge falscher Annahmen, wo Verschlüsselung notwendig ist und wo nicht", sagte der Forscher Motherboard. Angebliche Pläne von Samsung, Tizen künftig auf noch mehr Smartphones einzusetzen, sieht Neidermann daher kritisch: "Tizen wird Samsungs größtes Ding. Wir könnten Galaxys mit Tizen sehen. Das könnte bald passieren. Aber im Moment ist Tizen dafür nicht sicher genug."

Nachtrag vom 13. April 2017, 22:45 Uhr

Samsung hat uns folgende mitgeteilt: "Die angeblichen Sicherheitsschwachstellen bei Samsung Smart TVs, die auf einen bestimmten Tizen Open Source Code zurückzuführen sind, wurden vom Samsung Visual Display Business Security Team bereits genau analysiert. Wir können nun bestätigen, dass Samsung Smart TVs nicht von diesen vermeintlichen Sicherheitslücken betroffen sind. Wearables von Samsung sind ebenfalls nicht von der vermeintlichen Sicherheitslücke betroffen."



Anzeige
Spiele-Angebote
  1. 33,99€
  2. 4,75€
  3. 4,99€
  4. 4,99€

FreiGeistler 06. Apr 2017

Falls ich bei dir nicht auf der Ignorieren-Liste bin (nennt sich selbstzensur), kannst...

Anonymer Nutzer 06. Apr 2017

Ich widerspreche mir nicht. Google könnte mit seiner Marktmacht den Geräteherstellern...

DY 06. Apr 2017

Die grundsätzliche Frage: definiere "gutes". > Sollen Ja genau wie derzeit geleakt...

DarkWildcard 06. Apr 2017

Das ist kein Artikel zur Qualitätskontrolle, sondern zur Qualität nach dem Release...

altneu 05. Apr 2017

Ich hab da keine Ahnung, hätte aber gerne welche. Was wäre da als Library die erste...


Folgen Sie uns
       


Samsung Galaxy S10e - Test

Das Galaxy S10e ist das kleinste Modell von Samsungs neuer Galaxy-S10-Reihe - und für uns der Geheimtipp der Serie.

Samsung Galaxy S10e - Test Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Anno 1800 im Test: Super aufgebaut
    Anno 1800 im Test
    Super aufgebaut

    Ach, ist das schön: In Anno 1800 sind wir endlich wieder in einer heimelig-historischen Welt unterwegs - zumindest anfangs. Das neue Werk von Blue Byte fesselt dank des toll umgesetzten und unverwüstlichen Spielprinzips. Auch neue Elemente wie die Klassengesellschaft funktionieren.
    Von Peter Steinlechner

    1. Ubisoft Blue Byte Anno 1800 erhält Koop-Modus und mehr Statistiken
    2. Ubisoft Blue Byte Preload der offenen Beta von Anno 1800 eröffnet
    3. Systemanforderungen Anno 1800 braucht schnelle CPU

    Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
    Jobporträt
    Wenn die Software für den Anwalt kurzen Prozess macht

    IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
    Von Maja Hoock

    1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
    2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
    3. Recruiting Wenn die KI passende Mitarbeiter findet

      •  /