據 Fortune 報導, 三星的 Tizen 作業系統近日被發現存在 40 多個安全性漏洞, 三星在一系列三星智慧電視、智慧手錶和 Z 系列手機上使用該系統,
儘管目尚未明確是否已經有駭客利用 Tizen 系統中漏洞攻擊設備, 但安全研究人員 Amihai Neiderman 仍把這些安全性漏洞定義為零日漏洞(指被發現後立即被惡意利用的安全性漏洞), 他還表示在過去八個月的分析中三星一直沒有修復這些漏洞, 而這些漏洞很可能是是由於三星在產品測試中的編碼錯誤引起的。
據介紹, 該系統其中一個漏洞存在於 Tizen 軟體商店中, 駭客可以在軟體更新時利用漏洞, 在用戶手機中植入流氓軟體。 儘管三星 Tizen 軟體商店的軟體要經過認證才能進行更新, 但是這個利用這個漏洞就可以繞過三星的限制體系。
Amihai Neiderman 還表示, 在傳輸重要資料的過程中, Tizen 作業系統甚至沒有採取加密措施, 其在加密需求方面做了很多錯誤的假設。 Amihai Neiderman 還不忘對 Tizen 作業系統嘲諷一番, 他在接受 Motherboard 採訪時直言:
三星的開源 Tizen 作業系統中的代碼可能是我見過的最爛的代碼,
對於 Amihai Neiderman 的安全報告, 三星一開始並沒有作出回應, 但隨著更多媒體報導後, 三星發表了一份聲明稱將會和 Amihai Neiderman 合作, 以消除任何潛在的漏洞, 言下之意即報告中的漏洞確實存在。
Tizen 是一款基於開放原始程式碼的移動作業系統, 可支援智慧手機、平板電腦、智慧電視等多種類型的設備, 由 Linux 聯盟攜手三星和英特爾共同開發, Tizen 曾被三星寄希望於挑戰 Android 和 iOS 的地位。
(搭載 Tizen 作業系統三星 Z1 , 圖自:Motherboard)
然而 Tizen 一直在作業系統市場中艱難求生, 三星曾經在東南亞及非洲部分地區推出過搭載 Tizen 系統的手機, 但是銷量慘澹。 此後除了部分低端機, 三星也沒有在其智慧手機中和平板電腦搭載 Tizen 系統, 而是將其安裝到了一系列家電產品和可穿戴設備中。
雖然 Tizen 的市場份額遠低於 Android , 但目前至少也有 3000 萬台三星設備運行著 Tizen 系統 , 包括三星智慧電視、三星 Gear 智慧手錶以及在俄羅斯、印度等少數國家出售的三星手機。
(搭載 Tizen 系統的 Gear S2, 圖自:Engadget)
三星還表示將進一步拓展 Tizen 的應用範圍, 除了在洗衣機和冰箱等三星智慧家居上搭載該系統, 三星還計畫在今年銷售 1000 萬台搭載 Tizen 系統的手機, 以減少對 Android 系統的依賴。
但目前看來, 已經準備在三星 Galaxy 系列上躍躍欲試的 Tizen 面臨著很大的安全問題。 而 Amihai Neiderman 表示 , 在修正相關代碼之前,三星需要重新考慮在手機中安裝 Tizen 系統的計畫。
( 2015 年MWC 大會上的 Tizen 展臺圖自:Motherboard))
三星設備的安全性漏洞最近頻頻被曝光,就在前幾天,瑞士安全顧問 Rafael Scheel 還演示了如何通過空中傳播的電視信號對三星智慧電視機的攻擊,他使用廉價的發射機將惡意命令嵌入數位視訊廣播(DVB-T)信號中完成了攻擊。 Rafael Scheel 稱這種攻擊可以讓駭客獲得 Root 根控制權,通過三星智慧電視的攝像頭和麥克風窺探和監控使用者。
(圖自:YouTube)
而在一個月前,維琪解密公佈了一批美國中情局(CIA)檔,檔中透露早在 2014 年 CIA 和英國軍情五處(MI5) 就聯手研究新技術“哭泣天使”(Weeping Angel),這項技術能讓三星智慧電視處於假關機(fake-off)狀態,讓使用者誤以為電視已關機,從而竊聽使用者對話,通過互聯網上傳到一個秘密的中情局伺服器上。三星隨後也回應稱:
保護使用者的隱私和保證設備的安全是我們最優先考慮的事情。我們已瞭解了相關報導,目前正在對此展開緊急調查。
值得一提的是,三星在上個月初組建了一個全球產品品質改進辦公室,負責提高產品品質和改進生產程式,以防止類似 Note7 電池爆炸醜聞的發生,不知道上述這些安全性漏洞屬不屬於這個辦公室的職責範圍呢?
三星自去年 Note7 爆炸以來就危機不斷,股價大跌,李在鎔被捕,在最近發佈新旗艦 Galaxy S8 和 Galaxy S8+ 後才開始讓三星展現一些出力挽狂瀾的勢頭,儘管安全性漏洞幾乎是所有電子廠商都要面臨的問題,但三星想必也不希望在任何領域誕生第二個“Note7”。
題圖來自:The Verge
在修正相關代碼之前,三星需要重新考慮在手機中安裝 Tizen 系統的計畫。( 2015 年MWC 大會上的 Tizen 展臺圖自:Motherboard))
三星設備的安全性漏洞最近頻頻被曝光,就在前幾天,瑞士安全顧問 Rafael Scheel 還演示了如何通過空中傳播的電視信號對三星智慧電視機的攻擊,他使用廉價的發射機將惡意命令嵌入數位視訊廣播(DVB-T)信號中完成了攻擊。 Rafael Scheel 稱這種攻擊可以讓駭客獲得 Root 根控制權,通過三星智慧電視的攝像頭和麥克風窺探和監控使用者。
(圖自:YouTube)
而在一個月前,維琪解密公佈了一批美國中情局(CIA)檔,檔中透露早在 2014 年 CIA 和英國軍情五處(MI5) 就聯手研究新技術“哭泣天使”(Weeping Angel),這項技術能讓三星智慧電視處於假關機(fake-off)狀態,讓使用者誤以為電視已關機,從而竊聽使用者對話,通過互聯網上傳到一個秘密的中情局伺服器上。三星隨後也回應稱:
保護使用者的隱私和保證設備的安全是我們最優先考慮的事情。我們已瞭解了相關報導,目前正在對此展開緊急調查。
值得一提的是,三星在上個月初組建了一個全球產品品質改進辦公室,負責提高產品品質和改進生產程式,以防止類似 Note7 電池爆炸醜聞的發生,不知道上述這些安全性漏洞屬不屬於這個辦公室的職責範圍呢?
三星自去年 Note7 爆炸以來就危機不斷,股價大跌,李在鎔被捕,在最近發佈新旗艦 Galaxy S8 和 Galaxy S8+ 後才開始讓三星展現一些出力挽狂瀾的勢頭,儘管安全性漏洞幾乎是所有電子廠商都要面臨的問題,但三星想必也不希望在任何領域誕生第二個“Note7”。
題圖來自:The Verge