Abo
  • Services:

Tizen-Betriebssystem: "Könnte der schlechteste Code sein, den ich je gesehen habe"

Samsungs Tizen-Betriebssystem soll zahlreiche Sicherheitslücken haben und schlampig entwickelt worden sein. Ein Sicherheitsforscher kritisiert, dass der Smartphonehersteller gängige Absicherungen nicht verwende und so Speicherfehler und ungesicherte Verbindungen provoziere.

Artikel veröffentlicht am ,
Ein Smartphone mit Tizen
Ein Smartphone mit Tizen (Bild: Karlis Dambrans/CC-BY 2.0)

Ein Sicherheitsforscher hat zahlreiche Sicherheitslücken in Samsungs Tizen-Betriebssystems gefunden. Die Eigenentwicklung von Samsung läuft in Deutschland vor allem auf Smart-TVs und Wearables, Samsung hat aber auch einige Smartphones mit dem Betriebssystem im Angebot.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Derzeit gebe es rund 40 offene Schwachstellen: "Alles, was man falsch machen kann, ist auch falsch gemacht worden", sagte der Sicherheitsforscher Amihai Neiderman dem Portal Motherboard. "Es könnte der schlechteste Code sein, den ich jemals gesehen habe", sagte er weiter.

Der Sicherheitsforscher hat Samsung nach eigenen Angaben bereits vor einigen Monaten kontaktiert, aber nur eine automatische Antwort bekommen. Eine Anfrage von Motherboard wurde demnach ebenfalls nur mit einer Standardantwort beantwortet. Nach Veröffentlichung des Artikels habe Samsung sich gemeldet: Man werde im Rahmen des Smart-TV-Bug-Bounty-Programms mit dem Forscher zusammenarbeiten. Neiderman zufolge muss Samsung seinen Code komplett überarbeiten, um die Probleme beheben zu können.

Die Sicherheitslücken ermöglichen den Angaben von Neiderman zufolge jeweils die Ausführung von Code aus der Ferne. Ein Heap-Overflow in Samsungs eigenem Appstore soll es zum Beispiel ermöglichen, beliebige Software auf dem Gerät zu installieren. Die eigentlich vorgesehe Signaturprüfung wird dabei übergangen.

Laut Neidermann verwendet Samsung zahlreiche Codefragmente aus dem Tizen-Vorgänger Bada. Aktuell gängige Methoden zur Absicherung gegen Speicherfehler würden dabei nicht genutzt. Als Beispiel nennt Neidermann die Verwendung der Funktion Strcpy(), mit der Daten im Speicher repliziert werden können. Die Funktion prüft dabei allerdings nicht, ob am Zielort genügend freier Speicher vorhanden ist - und ist damit für einen Pufferüberlauf anfällig, der verschiedene Angriffe ermöglicht. Diese eigentlich wenig verwendete Funktion nutze Samsung sehr häufig.

Für die Übertragung wichtiger Daten werde zudem keine TLS-gesicherte Verbindung genutzt. "Es gibt eine Menge falscher Annahmen, wo Verschlüsselung notwendig ist und wo nicht", sagte der Forscher Motherboard. Angebliche Pläne von Samsung, Tizen künftig auf noch mehr Smartphones einzusetzen, sieht Neidermann daher kritisch: "Tizen wird Samsungs größtes Ding. Wir könnten Galaxys mit Tizen sehen. Das könnte bald passieren. Aber im Moment ist Tizen dafür nicht sicher genug."

Nachtrag vom 13. April 2017, 22:45 Uhr

Samsung hat uns folgende mitgeteilt: "Die angeblichen Sicherheitsschwachstellen bei Samsung Smart TVs, die auf einen bestimmten Tizen Open Source Code zurückzuführen sind, wurden vom Samsung Visual Display Business Security Team bereits genau analysiert. Wir können nun bestätigen, dass Samsung Smart TVs nicht von diesen vermeintlichen Sicherheitslücken betroffen sind. Wearables von Samsung sind ebenfalls nicht von der vermeintlichen Sicherheitslücke betroffen."



Anzeige
Top-Angebote
  1. (nur für Prime-Mitglieder)
  2. 19€ für Prime-Mitglieder
  3. (u. a. HP 27xq WQHD-Monitor mit 144 Hz für 285€ + Versand - Bestpreis!)
  4. 288€

FreiGeistler 06. Apr 2017

Falls ich bei dir nicht auf der Ignorieren-Liste bin (nennt sich selbstzensur), kannst...

Anonymer Nutzer 06. Apr 2017

Ich widerspreche mir nicht. Google könnte mit seiner Marktmacht den Geräteherstellern...

DY 06. Apr 2017

Die grundsätzliche Frage: definiere "gutes". > Sollen Ja genau wie derzeit geleakt...

DarkWildcard 06. Apr 2017

Das ist kein Artikel zur Qualitätskontrolle, sondern zur Qualität nach dem Release...

altneu 05. Apr 2017

Ich hab da keine Ahnung, hätte aber gerne welche. Was wäre da als Library die erste...


Folgen Sie uns
       


Probefahrt mit dem Audi E-Tron - Bericht

Golem.de hat den neuen Audi E-Tron auf einem Ausflug in die Wüste von Abu Dhabi getestet.

Probefahrt mit dem Audi E-Tron - Bericht Video aufrufen
Datenschutz: Nie da gewesene Kontrollmacht für staatliche Stellen
Datenschutz
"Nie da gewesene Kontrollmacht für staatliche Stellen"

Zur G20-Fahndung nutzt Hamburgs Polizei eine Software, die Gesichter von Hunderttausenden speichert. Schluss damit, sagt der Datenschutzbeauftragte - und wird ignoriert.
Ein Interview von Oliver Hollenstein

  1. Brexit-Abstimmung IT-Wirtschaft warnt vor Datenchaos in Europa
  2. Österreich Post handelt mit politischen Einstellungen
  3. Digitalisierung Bär stößt Debatte um Datenschutz im Gesundheitswesen an

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

    •  /