Abo
  • Services:
Anzeige
Ein Smartphone mit Tizen
Ein Smartphone mit Tizen (Bild: Karlis Dambrans/CC-BY 2.0)

Tizen-Betriebssystem: "Könnte der schlechteste Code sein, den ich je gesehen habe"

Ein Smartphone mit Tizen
Ein Smartphone mit Tizen (Bild: Karlis Dambrans/CC-BY 2.0)

Samsungs Tizen-Betriebssystem soll zahlreiche Sicherheitslücken haben und schlampig entwickelt worden sein. Ein Sicherheitsforscher kritisiert, dass der Smartphonehersteller gängige Absicherungen nicht verwende und so Speicherfehler und ungesicherte Verbindungen provoziere.

Ein Sicherheitsforscher hat zahlreiche Sicherheitslücken in Samsungs Tizen-Betriebssystems gefunden. Die Eigenentwicklung von Samsung läuft in Deutschland vor allem auf Smart-TVs und Wearables, Samsung hat aber auch einige Smartphones mit dem Betriebssystem im Angebot.

Anzeige

Derzeit gebe es rund 40 offene Schwachstellen: "Alles, was man falsch machen kann, ist auch falsch gemacht worden", sagte der Sicherheitsforscher Amihai Neiderman dem Portal Motherboard. "Es könnte der schlechteste Code sein, den ich jemals gesehen habe", sagte er weiter.

Der Sicherheitsforscher hat Samsung nach eigenen Angaben bereits vor einigen Monaten kontaktiert, aber nur eine automatische Antwort bekommen. Eine Anfrage von Motherboard wurde demnach ebenfalls nur mit einer Standardantwort beantwortet. Nach Veröffentlichung des Artikels habe Samsung sich gemeldet: Man werde im Rahmen des Smart-TV-Bug-Bounty-Programms mit dem Forscher zusammenarbeiten. Neiderman zufolge muss Samsung seinen Code komplett überarbeiten, um die Probleme beheben zu können.

Die Sicherheitslücken ermöglichen den Angaben von Neiderman zufolge jeweils die Ausführung von Code aus der Ferne. Ein Heap-Overflow in Samsungs eigenem Appstore soll es zum Beispiel ermöglichen, beliebige Software auf dem Gerät zu installieren. Die eigentlich vorgesehe Signaturprüfung wird dabei übergangen.

Laut Neidermann verwendet Samsung zahlreiche Codefragmente aus dem Tizen-Vorgänger Bada. Aktuell gängige Methoden zur Absicherung gegen Speicherfehler würden dabei nicht genutzt. Als Beispiel nennt Neidermann die Verwendung der Funktion Strcpy(), mit der Daten im Speicher repliziert werden können. Die Funktion prüft dabei allerdings nicht, ob am Zielort genügend freier Speicher vorhanden ist - und ist damit für einen Pufferüberlauf anfällig, der verschiedene Angriffe ermöglicht. Diese eigentlich wenig verwendete Funktion nutze Samsung sehr häufig.

Für die Übertragung wichtiger Daten werde zudem keine TLS-gesicherte Verbindung genutzt. "Es gibt eine Menge falscher Annahmen, wo Verschlüsselung notwendig ist und wo nicht", sagte der Forscher Motherboard. Angebliche Pläne von Samsung, Tizen künftig auf noch mehr Smartphones einzusetzen, sieht Neidermann daher kritisch: "Tizen wird Samsungs größtes Ding. Wir könnten Galaxys mit Tizen sehen. Das könnte bald passieren. Aber im Moment ist Tizen dafür nicht sicher genug."

Nachtrag vom 13. April 2017, 22:45 Uhr

Samsung hat uns folgende mitgeteilt: "Die angeblichen Sicherheitsschwachstellen bei Samsung Smart TVs, die auf einen bestimmten Tizen Open Source Code zurückzuführen sind, wurden vom Samsung Visual Display Business Security Team bereits genau analysiert. Wir können nun bestätigen, dass Samsung Smart TVs nicht von diesen vermeintlichen Sicherheitslücken betroffen sind. Wearables von Samsung sind ebenfalls nicht von der vermeintlichen Sicherheitslücke betroffen."


eye home zur Startseite
FreiGeistler 06. Apr 2017

Falls ich bei dir nicht auf der Ignorieren-Liste bin (nennt sich selbstzensur), kannst...

Themenstart

david_rieger 06. Apr 2017

Ich widerspreche mir nicht. Google könnte mit seiner Marktmacht den Geräteherstellern...

Themenstart

DY 06. Apr 2017

Die grundsätzliche Frage: definiere "gutes". > Sollen Ja genau wie derzeit geleakt...

Themenstart

DarkWildcard 06. Apr 2017

Das ist kein Artikel zur Qualitätskontrolle, sondern zur Qualität nach dem Release...

Themenstart

altneu 05. Apr 2017

Ich hab da keine Ahnung, hätte aber gerne welche. Was wäre da als Library die erste...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Teambank AG, Nürnberg
  2. mobileX AG, München
  3. Wüstenrot Immobilien GmbH, Ludwigsburg
  4. Werner Sobek Group GmbH, Stuttgart


Anzeige
Top-Angebote
  1. 44,90€ statt 79,90€
  2. 222,00€
  3. (u. a. Doctor Strange, Legend of Tarzan, Shaun das Schaf, Sausage Party)

Folgen Sie uns
       


  1. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  2. GVFS

    Windows-Team nutzt fast vollständig Git

  3. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  4. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  5. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  6. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf

  7. Microsoft

    Mixer soll schneller streamen als Youtube Gaming und Twitch

  8. Linux

    Kritische Sicherheitslücke in Samba gefunden

  9. Auftragsfertiger

    Samsung erweitert Roadmap bis 4 nm plus EUV

  10. Fake News

    Ägypten blockiert 21 Internetmedien



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  2. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2
  3. UP2718Q Dell verkauft HDR10-Monitor ab Mai 2017

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

  1. Re: GVFS etwas ungünstiger Name...

    körner | 15:07

  2. Re: "Es gebe dazu keine weitere Kommunikation...

    fg (Golem.de) | 15:07

  3. Re: Warum überhaupt VLC nutzen

    __destruct() | 15:07

  4. Re: Die hohen Anschaffungskosten eines E-Autos...

    Carlo Escobar | 15:07

  5. Re: Unix, das Betriebssystem von Entwicklern, für...

    SelfEsteem | 15:05


  1. 15:15

  2. 13:35

  3. 13:17

  4. 13:05

  5. 12:30

  6. 12:01

  7. 12:00

  8. 11:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel