עוד סכנות במוצרי סמסונג: חוקר ישראלי מצא 40 פרצות אבטחה בטיזן
מערכת ההפעלה של השעונים החכמים של סמסונג ועוד מוצרים מחוברים שלה עשויה להיפרץ בקלות. המערכת מפעילה עשרות מיליוני מכשירים והחברה מתכננת להרחיב את השימוש בה באופן נרחב
18:4905.04.17
סמסונג מנסה לדחוף לשוק את מערכת ההפעלה שלה למוצרים חכמים, טיזן (Tizen), אבל האם היא מאובטחת מספיק? לטענת חוקר אבטחת המידע הישראלי עמיחי ניידרמן המערכת מלאה בפרצות אבטחה חמורות שהופכות את ההשתלטות על מכשירים המריצים אותה למשימה קלה עבור האקרים.
מערכת ההפעלה טייזן מפעילה את השעונים החכמים של סמסונג בין השאר צילום: הראל עילם
קראו עוד בכלכליסט:
- האקר בחו"ל הצליח לפרוץ לטלוויזיה חכמה של סמסונג דרך ממיר עידן פלוס הפנימי
- עבודה בעיניים: ניתן לרמות את זיהוי הפנים של הגלקסי S8 עם תמונה
- אחרי הפיאסקו של נוט 7: סמסונג השיקה את גלקסי S8
טיזן, אותה מפתחת החברה מאז 2012, היא אלטרנטיבה לאנדרואיד שרצה כיום על 30 מיליון טלוויזיות חכמות מתוצרת החברה. חלק מדגמי השעונים החכמים מסדרת סמסונג גיר ומספר קטן של דגמי טלפונים הנמכרים במדינות כמו רוסיה והודו. החברה מתכננת להרחיב את השימוש בה בתחום הטלפונים ולהגיע השנה למכירות של 10 מיליוני מכשירים המבוססים עליה, לצד שימוש כבסיס לדגמי המקררים החכמים ומכונות הכביסה החכמות שהיא עומדת להוציא.
מערכת ההפעלה טייזן מפעילה את השעונים החכמים של סמסונג בין השאר צילום: הראל עילם ניידרמן, ראש תחום המחקר בחברת האבטחה Equus טכנולוגיות, אמר שלום (ב') בראיון למגזין Motherboard כי מצא במערכת 40 פרצות לא מטופלות. "זה הקוד הגרוע ביותר שראיתי אי פעם. על מה שניתן היה לעשות רע - הם עשו. אתה יכול לראות שאף אחד עם הבנה באבטחת מידע לא לקח חלק בכתיבת הקוד ואפילו לא עבר עליו. זאת נראית כמו תוכנה שנכתבה על ידי סטודנטים לתואר ראשון", הוא ביקר בחריפות את המוצר.
לטענת ניידרמן פרצות אלו יכולות לאפשר להאקרים להשתלט מרחוק דרך האינטרנט על מכשירים המריצים את המערכת ההפעלה, כאשר החמורה מביניהן היא פרצה בחנות האפליקציות של המערכת שמאפשרת לדבריו להחדיר למערכת כל קוד עוין שהפורץ יחליט לתקוף באמצעותו את התוכנה, עם גישה מלאה לכל חלקיה. ניידרמן אומר כי בחן את המערכת במהלך 8 החודשים האחרונים על גבי דגם של טלוויזיה חכמה ומספר דגמי טלפונים.
אחד הגורמים לאבטחה הרופפת, לדבריו, היא השימוש הרב שנעשה בקוד ישן ממערכת הפעלה קודמת בשם Bada ומפרויקטים נוספים שבוצעו בחברה, לצד לא מעט חורי אבטחה גם בקוד החדש שנכתב במיועד עבורה בשנתיים האחרונות.
החשיפה מגיעה בתזמון לא מוצלח עבור סמסונג, שבועות ספורים אחרי שחוקר אבטחה אחר, רפאל שיל, הדגים כיצד ניתן לפרוץ בקלות יחסית למספר דגמי טלוויזיות חכמות מתוצרת החברה באמצעות החדרת קוד עוין דרך שידור דיגיטלי בתקן DVB-T, אותה הטכנולוגיה בה עושים שימוש בשידורי עידן פלוס.
לדברי סמסונג, שהגיבה לכתבה של Motherboard, "אנו מחויבים באופן מלא לשיתוף פעולה עם מר ניידרמן כדי לפתור כל חולשת אבטחה פוטנציאלית במערכת. בנוסף אנו מחויבים לעבודה עם מומחי אבטחה מכל העולם דרך תוכנית SmartTV Bug Bounty שלנו כדי להתמודד עם כל סיכוני האבטחה".
