三星遭爆易骇恐变窃听装置
2017-05-24
维基解密爆料,三星等智慧家电存在漏洞,恐遭入侵成為窃听装置。以色列资安专家尼德曼在一项会议中揭露,三星开发的Tizen操作系统存在严重的安全漏洞,“是我见过最糟的系”。三星表示,已和尼德曼联系,将致力改善系统。
近年三星致力开发自家专属的操作系统,Tizen原是英特尔和诺基亚合作的一项计划,2013年三星加入,把自家的Bada操作系统与Tizen整合。Tizen的开发基础源自Linux,因此许多程序也是开放原始码,在Tizen系统架构下的应用程序(app)使用C++和HTML5语言编写。
三星对Tizen操作系统寄予厚望,应用在智能电视、智能手表、Z系列手机等产品,期待成为继苹果iOS与谷歌Android后的第三大行动操作系统。然而尼德曼在这些产品中找到40多个系统漏洞,这些程序缺陷可能让黑客更容易从远程攻击与控制设备。
尼德曼在资安公司卡巴斯基(Kaspersky)的资安分析高峰会发表演说,他对Tizen评价不高,“所有你能想到的程序错误,他们都犯了。”他指出,大部分的错误皆来自新近编写的程序代码,其中大量使用“缓冲区溢位”(buffer overflows),且strcpy函数不当使用,这些都成为系统极易被黑客攻破的弱点。
此外,尼德曼也批评三星系统未能落实安全通讯协议(SSL)凭证,他甚至发现敏感数据未以加密方式传送,一览无遗。尼德曼批评其程序代码错误百出,黑客可以利用这些漏洞自远程控制装置,且在过去八个月以来一直没有修复,“几乎到处都看得到这些漏洞。”
尼德曼表示:“三星的Tizen操作系统可能是我见过最糟糕的程序代码,编写者对安全性没有任何了解,就像是找大学生来写的。”他形容这些漏洞为“零日漏洞”,若被黑客发现,将立即被恶意利用。维基解密公布的中情局(CIA)骇攻数据中,显示CIA将骇攻用的木马程序、间谍软件等称为“零日”。
Tizen目前在约3000万台三星装置上运作,三星计划到今年年底前生产1000万支搭载该系统的手机,希望减少对Android系统的依赖并壮大自家系统。
(编辑/李葳)