Tizen-Betriebssystem: "Könnte der schlechteste Code sein, den ich je gesehen habe"

Samsungs Tizen-Betriebssystem soll zahlreiche Sicherheitslücken haben und schlampig entwickelt worden sein. Ein Sicherheitsforscher kritisiert, dass der Smartphonehersteller gängige Absicherungen nicht verwende und so Speicherfehler und ungesicherte Verbindungen provoziere.

Artikel veröffentlicht am ,
Ein Smartphone mit Tizen
Ein Smartphone mit Tizen (Bild: Karlis Dambrans/CC-BY 2.0)

Ein Sicherheitsforscher hat zahlreiche Sicherheitslücken in Samsungs Tizen-Betriebssystems gefunden. Die Eigenentwicklung von Samsung läuft in Deutschland vor allem auf Smart-TVs und Wearables, Samsung hat aber auch einige Smartphones mit dem Betriebssystem im Angebot.

Stellenmarkt
  1. Informatiker / Entwickler (m/w/d) SAP ABAP
    ING Deutschland, Frankfurt, Nürnberg
  2. Spezialist (m/w/d) Informationssicherheit mit Schwerpunkt IDV
    Landwirtschaftliche Rentenbank, Frankfurt am Main
Detailsuche

Derzeit gebe es rund 40 offene Schwachstellen: "Alles, was man falsch machen kann, ist auch falsch gemacht worden", sagte der Sicherheitsforscher Amihai Neiderman dem Portal Motherboard. "Es könnte der schlechteste Code sein, den ich jemals gesehen habe", sagte er weiter.

Der Sicherheitsforscher hat Samsung nach eigenen Angaben bereits vor einigen Monaten kontaktiert, aber nur eine automatische Antwort bekommen. Eine Anfrage von Motherboard wurde demnach ebenfalls nur mit einer Standardantwort beantwortet. Nach Veröffentlichung des Artikels habe Samsung sich gemeldet: Man werde im Rahmen des Smart-TV-Bug-Bounty-Programms mit dem Forscher zusammenarbeiten. Neiderman zufolge muss Samsung seinen Code komplett überarbeiten, um die Probleme beheben zu können.

Die Sicherheitslücken ermöglichen den Angaben von Neiderman zufolge jeweils die Ausführung von Code aus der Ferne. Ein Heap-Overflow in Samsungs eigenem Appstore soll es zum Beispiel ermöglichen, beliebige Software auf dem Gerät zu installieren. Die eigentlich vorgesehe Signaturprüfung wird dabei übergangen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Laut Neidermann verwendet Samsung zahlreiche Codefragmente aus dem Tizen-Vorgänger Bada. Aktuell gängige Methoden zur Absicherung gegen Speicherfehler würden dabei nicht genutzt. Als Beispiel nennt Neidermann die Verwendung der Funktion Strcpy(), mit der Daten im Speicher repliziert werden können. Die Funktion prüft dabei allerdings nicht, ob am Zielort genügend freier Speicher vorhanden ist - und ist damit für einen Pufferüberlauf anfällig, der verschiedene Angriffe ermöglicht. Diese eigentlich wenig verwendete Funktion nutze Samsung sehr häufig.

Für die Übertragung wichtiger Daten werde zudem keine TLS-gesicherte Verbindung genutzt. "Es gibt eine Menge falscher Annahmen, wo Verschlüsselung notwendig ist und wo nicht", sagte der Forscher Motherboard. Angebliche Pläne von Samsung, Tizen künftig auf noch mehr Smartphones einzusetzen, sieht Neidermann daher kritisch: "Tizen wird Samsungs größtes Ding. Wir könnten Galaxys mit Tizen sehen. Das könnte bald passieren. Aber im Moment ist Tizen dafür nicht sicher genug."

Nachtrag vom 13. April 2017, 22:45 Uhr

Samsung hat uns folgende mitgeteilt: "Die angeblichen Sicherheitsschwachstellen bei Samsung Smart TVs, die auf einen bestimmten Tizen Open Source Code zurückzuführen sind, wurden vom Samsung Visual Display Business Security Team bereits genau analysiert. Wir können nun bestätigen, dass Samsung Smart TVs nicht von diesen vermeintlichen Sicherheitslücken betroffen sind. Wearables von Samsung sind ebenfalls nicht von der vermeintlichen Sicherheitslücke betroffen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Youtuber bekommt für Deep Fakes Job bei Lucasfilm

Mit Deepfakes schafft Shamook überzeugendere Varianten von Star-Wars-Figuren, als es Disney je gelungen ist. Jetzt arbeitet er bei ILM.

Star Wars: Youtuber bekommt für Deep Fakes Job bei Lucasfilm
Artikel
  1. Flight Simulator im Benchmark-Test: Sim Update 5 lässt Performance abheben
    Flight Simulator im Benchmark-Test
    Sim Update 5 lässt Performance abheben

    Die Optimierungen bei Bildrate und Speicherbedarf sind derart immens, dass wir kaum glauben können, noch den Flight Simulator zu spielen.
    Ein Test von Marc Sauter

  2. Sony: Zehn Millionen Exemplare der Playstation 5 verkauft
    Sony
    Zehn Millionen Exemplare der Playstation 5 verkauft

    Trotz Lieferengpässen ist die Playstation 5 vermutlich die am schnellsten verkaufte Konsole. Auch zum Absatz der Xbox Series X/S gibt es neue Zahlen.

  3. Sexismus: Entwickler wollen Inhalte von World of Warcraft ändern
    Sexismus
    Entwickler wollen Inhalte von World of Warcraft ändern

    Es rumort weiter bei Activision Blizzard: Entwickler wollen streiken und WoW überarbeiten. Konzernchef Bobby Kotick meldet sich erstmals.

FreiGeistler 06. Apr 2017

Falls ich bei dir nicht auf der Ignorieren-Liste bin (nennt sich selbstzensur), kannst...

Anonymer Nutzer 06. Apr 2017

Ich widerspreche mir nicht. Google könnte mit seiner Marktmacht den Geräteherstellern...

Anonymer Nutzer 06. Apr 2017

Die grundsätzliche Frage: definiere "gutes". > Sollen Ja genau wie derzeit geleakt...

DarkWildcard 06. Apr 2017

Das ist kein Artikel zur Qualitätskontrolle, sondern zur Qualität nach dem Release...

altneu 05. Apr 2017

Ich hab da keine Ahnung, hätte aber gerne welche. Was wäre da als Library die erste...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung-Monitore Amazon Exclusive günstiger (u. a. G7 32" QLED Curved WQHD 240Hz 559€) • AKRacing Core EX-Wide SE Gaming-Stuhl 229€ • Thrustmaster TCA Officer Pack Airbus Edition 119,99€ • Flight Simulator Xbox Series X 69,99€ [Werbung]
    •  /