Saltar al contenido

Se dice que el software Gear S3 de Samsung, Tizen, está plagado de agujeros de seguridad

marzo 30, 2022

El investigador de seguridad israelí Amihai Neiderman ha encontrado 40 vulnerabilidades de seguridad desconocidas de día cero en Tizen, el sistema operativo que Samsung utiliza para impulsar sus relojes inteligentes Gear, televisores y muchos otros dispositivos electrónicos.

«Es el peor código que he visto», dijo Neiderman. tarjeta madre antes de una charla sobre su investigación de Tizen en la Cumbre de analistas de seguridad de Kaspersky Lab. «Todo lo que puedes hacer mal allí, lo hacen ellos. Puedes ver que nadie con conocimientos de seguridad vio este código o lo escribió. Es como tomar a un estudiante universitario y dejar que programe tu software».

En teoría, todas las vulnerabilidades de 4o permitirían a los piratas informáticos tomar el control de los relojes inteligentes Gear, como el Gear S3 y otros dispositivos Samsung con tecnología Tizen, de forma remota. El peor de ellos, según Neiderman, giraba en torno a Tizen Store, que Samsung usa para enviar actualizaciones a los dispositivos y actuar como una tienda de aplicaciones.

Debido a que Tizen Store requiere los permisos de usuario más altos en un dispositivo, explotar sus vulnerabilidades lo convierte en un objetivo jugoso para los piratas informáticos. Neiderman pudo explotar una falla de Tizen Store que le permitió tomar el control de la tienda antes de su proceso de autenticación, lo que le permitió enviar un código malicioso a su televisor.

Si bien Neiderman centró sus esfuerzos de investigación en teléfonos y televisores, las vulnerabilidades de Tizen se extienden a los relojes inteligentes Gear de Samsung. El marco de Tizen Store se utiliza para permitir que los usuarios de Gear descarguen aplicaciones y reciban actualizaciones para su reloj inteligente.

Otras fallas importantes incluyen un punto de falla en el que Tizen no puede verificar si hay suficiente espacio de almacenamiento para escribir nuevos datos y la falta de cifrado SSL al transmitir datos. Si bien Neiderman señala que parte del código de Tizen proviene del fallido sistema operativo Bada de Samsung, la mayoría de las vulnerabilidades provienen del código escrito en los últimos dos años.

Samsung dice que está «totalmente comprometido» a trabajar con Neiderman para solucionar cualquier vulnerabilidad, y el propio Neiderman dice que ha estado en contacto con Samsung, compartiendo «fragmentos» de las vulnerabilidades con la empresa. Wareable se ha puesto en contacto con Samsung con más preguntas, y actualizaremos esto cuando escuchemos más.

La noticia de la vulnerabilidad de Tizen llega inmediatamente después de la noticia de que la CIA supuestamente hackeado Samsung TV, lo que podría permitir que la agencia gubernamental escuche y capture conversaciones. Si bien es bueno que Samsung esté al tanto de estas vulnerabilidades, para que pueda trabajar en solucionarlas, es un poco alarmante que su línea insignia de relojes inteligentes sea vulnerable.

Un investigador encuentra que el sistema operativo de Samsung Gear, Tizen, está plagado de vulnerabilidades de seguridad