Abo
  • Services:
Anzeige
Ein Smartphone mit Tizen
Ein Smartphone mit Tizen (Bild: Karlis Dambrans/CC-BY 2.0)

Tizen-Betriebssystem: "Könnte der schlechteste Code sein, den ich je gesehen habe"

Ein Smartphone mit Tizen
Ein Smartphone mit Tizen (Bild: Karlis Dambrans/CC-BY 2.0)

Samsungs Tizen-Betriebssystem soll zahlreiche Sicherheitslücken haben und schlampig entwickelt worden sein. Ein Sicherheitsforscher kritisiert, dass der Smartphonehersteller gängige Absicherungen nicht verwende und so Speicherfehler und ungesicherte Verbindungen provoziere.

Ein Sicherheitsforscher hat zahlreiche Sicherheitslücken in Samsungs Tizen-Betriebssystems gefunden. Die Eigenentwicklung von Samsung läuft in Deutschland vor allem auf Smart-TVs und Wearables, Samsung hat aber auch einige Smartphones mit dem Betriebssystem im Angebot.

Anzeige

Derzeit gebe es rund 40 offene Schwachstellen: "Alles, was man falsch machen kann, ist auch falsch gemacht worden", sagte der Sicherheitsforscher Amihai Neiderman dem Portal Motherboard. "Es könnte der schlechteste Code sein, den ich jemals gesehen habe", sagte er weiter.

Der Sicherheitsforscher hat Samsung nach eigenen Angaben bereits vor einigen Monaten kontaktiert, aber nur eine automatische Antwort bekommen. Eine Anfrage von Motherboard wurde demnach ebenfalls nur mit einer Standardantwort beantwortet. Nach Veröffentlichung des Artikels habe Samsung sich gemeldet: Man werde im Rahmen des Smart-TV-Bug-Bounty-Programms mit dem Forscher zusammenarbeiten. Neiderman zufolge muss Samsung seinen Code komplett überarbeiten, um die Probleme beheben zu können.

Die Sicherheitslücken ermöglichen den Angaben von Neiderman zufolge jeweils die Ausführung von Code aus der Ferne. Ein Heap-Overflow in Samsungs eigenem Appstore soll es zum Beispiel ermöglichen, beliebige Software auf dem Gerät zu installieren. Die eigentlich vorgesehe Signaturprüfung wird dabei übergangen.

Laut Neidermann verwendet Samsung zahlreiche Codefragmente aus dem Tizen-Vorgänger Bada. Aktuell gängige Methoden zur Absicherung gegen Speicherfehler würden dabei nicht genutzt. Als Beispiel nennt Neidermann die Verwendung der Funktion Strcpy(), mit der Daten im Speicher repliziert werden können. Die Funktion prüft dabei allerdings nicht, ob am Zielort genügend freier Speicher vorhanden ist - und ist damit für einen Pufferüberlauf anfällig, der verschiedene Angriffe ermöglicht. Diese eigentlich wenig verwendete Funktion nutze Samsung sehr häufig.

Für die Übertragung wichtiger Daten werde zudem keine TLS-gesicherte Verbindung genutzt. "Es gibt eine Menge falscher Annahmen, wo Verschlüsselung notwendig ist und wo nicht", sagte der Forscher Motherboard. Angebliche Pläne von Samsung, Tizen künftig auf noch mehr Smartphones einzusetzen, sieht Neidermann daher kritisch: "Tizen wird Samsungs größtes Ding. Wir könnten Galaxys mit Tizen sehen. Das könnte bald passieren. Aber im Moment ist Tizen dafür nicht sicher genug."

Nachtrag vom 13. April 2017, 22:45 Uhr

Samsung hat uns folgende mitgeteilt: "Die angeblichen Sicherheitsschwachstellen bei Samsung Smart TVs, die auf einen bestimmten Tizen Open Source Code zurückzuführen sind, wurden vom Samsung Visual Display Business Security Team bereits genau analysiert. Wir können nun bestätigen, dass Samsung Smart TVs nicht von diesen vermeintlichen Sicherheitslücken betroffen sind. Wearables von Samsung sind ebenfalls nicht von der vermeintlichen Sicherheitslücke betroffen."


eye home zur Startseite
FreiGeistler 06. Apr 2017

Falls ich bei dir nicht auf der Ignorieren-Liste bin (nennt sich selbstzensur), kannst...

david_rieger 06. Apr 2017

Ich widerspreche mir nicht. Google könnte mit seiner Marktmacht den Geräteherstellern...

DY 06. Apr 2017

Die grundsätzliche Frage: definiere "gutes". > Sollen Ja genau wie derzeit geleakt...

DarkWildcard 06. Apr 2017

Das ist kein Artikel zur Qualitätskontrolle, sondern zur Qualität nach dem Release...

altneu 05. Apr 2017

Ich hab da keine Ahnung, hätte aber gerne welche. Was wäre da als Library die erste...



Anzeige

Stellenmarkt
  1. Vodafone Kabel Deutschland GmbH, München
  2. ETAS GmbH, Stuttgart
  3. Computacenter AG & Co. oHG, verschiedene Standorte
  4. medavis GmbH, Karlsruhe


Anzeige
Spiele-Angebote
  1. (-15%) 16,99€
  2. 8,99€
  3. (-66%) 16,99€

Folgen Sie uns
       


  1. Spectre

    Neuer Microcode für Haswell und Broadwell ist fast fertig

  2. Konfigurator

    Tesla mit neuen Optionen für das Model 3

  3. Body Cardio

    Nokia macht intelligente Waage etwas dümmer

  4. Luxuslimousine

    Jaguar XJ - die Katze wird elektrisch

  5. Umwelt

    China baut 100-Meter-Turm für die Luftreinigung

  6. Marktforschung

    Viele Android-Apps kollidieren mit kommendem EU-Datenschutz

  7. Sonic Forces

    Offenbar aktuelle Version von Denuvo geknackt

  8. KWin

    KDE beendet Funktionsentwicklung für X11

  9. Sprachassistenten

    Alexa ist Feministin

  10. Elektromobilität

    Elektroautos werden langsam beliebter in Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Star Citizen Alpha 3.0 angespielt: Es wird immer schwieriger, sich auszuloggen
Star Citizen Alpha 3.0 angespielt
Es wird immer schwieriger, sich auszuloggen
  1. Cloud Imperium Games Star Citizen bekommt erst Polituren und dann Reparaturen
  2. Star Citizen Reaktionen auf Gameplay und Bildraten von Alpha 3.0
  3. Squadron 42 Mark Hamill fliegt mit 16 GByte RAM und SSD

  1. Re: Erst wollen sie

    moppi | 09:20

  2. Re: äußerst überraschend

    Trollversteher | 09:18

  3. Re: Sicherheit?

    Pixel5 | 09:18

  4. Traumjob

    melog89 | 09:18

  5. Re: Meine Frau darf Widerworte haben

    Niaxa | 09:17


  1. 08:51

  2. 07:41

  3. 07:28

  4. 07:18

  5. 18:19

  6. 17:43

  7. 17:38

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel