最新產業新聞文章

Image credit:

三星的電視與穿戴裝置的系統可說是漏洞百出

犯了不少入門級錯誤的資安惡夢。

Ross Wang , @rossmax
2017 年 4 月 5 日, 下午 04:04
184 分享次數
分享
分享
Twitter 發表
line
電郵
儲存
好啦,標題算是有點誇飾,畢竟人家在研究報告中被揭露,未修正的 Zero-Day 零時差漏洞,大約僅有 40 個而已(!?)。不過就其 Tizen 系統其實已經廣布該廠智慧電視、智慧穿戴裝置,甚至也將更進一步往更多新款手機上推送,那麼這樣的資安問題顯然就很應該要被正視。專家甚至很直白的評價,這堪稱是「史上最糟的程式碼」-- 指出,這系統是由一支不懂資安概念的開發團隊所設計,並犯下了他人明顯會避開的錯誤。

這其中最明顯的例子是出在 TizenStore 應用程式商店之上:基本上,在安裝應用程式前是有個驗證確認你所安裝的 App 是從正當來源所取得的,這個漏洞則是可以讓他人在驗證執行前取得相關的控制,駭客即可利用此漏洞傳送木馬給你來安裝使用。學者亦發現三星沒有採取一貫的加密方式來有效保護此系統,而且有很多漏洞甚至已經被發現了兩年之久,更暗示著這可能是自原始設計便已存在。

數個月前便已揭露此問題的 Neiderman,一直到最近才收到官方表示將全力修補這樣問題的回覆(在此之前都是自動罐頭信件回覆而已),並提到近期的 SmartTV Bug 賞金計畫其實也是他們對於資安與補漏洞方面的努力進程之一。好在,雖然漏洞真的太久太多,不過既然官方都承諾了將會正視此狀況,那麼應該很快地就能見到成果了吧。是說,三星其實也應該考慮徹頭徹尾地檢視一下 Tizen 系統,來改善它的體質也許才是根本解決問題的方向?不要等到真的發生什麼重大問題了再來反省比較好。