Descubren que Tizen es un coladero para hackers y malware

Basado en Linux y disponible de forma gratuita, Tizen es la plataforma con la que Samsung busca alcanzar cierta independencia de Android y marcar las distancias con Google allí donde puede. Aunque el dominio del gigante estadounidense es indiscutible en el mercado telefónico, Samsung ha lanzado un par de móviles asequibles basados en este sistema operativo que también ha llegado a sus relojes y televisores inteligentes. Samsung rara vez pierde la oportunidad de presumir de la capacidad de personalización y la eficiencia de Tizen; su seguridad, sin embargo, deja mucho que desear.

Amihai Neiderman, un experto en seguridad informática de la firma israelí Equus Software, así lo ha confirmado a Motherboard. Sus declaraciones son sucintas y brutales: "Posiblemente sea el peor código que jamás he visto. Todo lo que puedes hacer mal, lo hacen. Puedes ver que nadie con la más mínima comprensión de la seguridad ha mirado este código o lo ha escrito. Es como coger a un estudiante universitario y dejar que programe tu software".

La plataforma ha encontrado su hueco en los televisores de Samsung.

Neiderman no tenía pensado diseccionar la pobre seguridad de Tizen hasta que se dio cuenta de lo mal que funcionaba el sistema operativo en su televisor. Su frustración fue tal que terminó por comprar varios teléfonos basados en la plataforma para ver qué podía hacer con ellos. Mucho más de lo que esperaba, aparentemente.


Un desastre con 40 vulnerabilidades zero day

Según explica Neiderman, gran parte del código de Tizen deriva de proyectos antiguos como Bada, una plataforma para teléfonos abandonada por Samsung hace años y que aparentemente se convirtió en una de las bases de Tizen. "Puedes ver que tomaron todo este código y lo metieron en Tizen", asegura el investigador.

Aparentemente la inseguridad de Tizen alcanza extremos difíciles de creer. Neiderman asegura haber descubierto 40 vulnerabilidades zero day que permitirían hackear teléfonos, televisores y dispositivos wearables sin tener acceso físico a los mismos. Una de las más notables permite tomar el control de un dispositivo de Samsung mediante ejecución de código remota utilizando un agujero en la aplicación TizenStore.

La tienda de aplicaciones de Samsung funciona con el mayor nivel de privilegios y "te permite actualizar un sistema Tizen con cualquier código malicioso que quieras". Teóricamente TizenStore usa un mecanismo de autenticación para que solo se puedan instalar software validado por Samsung, pero una vulnerabilidad permite tomar el control de la aplicación antes de que esta característica llegue a activarse.

Tizen está presente en algunos teléfonos asequibles de Samsung para mercados emergentes.

Los únicos productos globales con Tizen comercializados por Samsung son sus televisores y relojes inteligentes. Por ahora sus teléfonos solo se venden en algunos países de Asia y África, aunque su compañía ha manifestado su intención de distribuirlos también en otros mercados como América Latina.

Según Neiderman, sus hallazgos fueron remitidos a Samsung hace meses. Todo lo que ha recibido por respuesta es un correo electrónico automatizado. La firma surcoreana, por su parte, ha respondido a las preguntas de Motherboard declarando que "se toma la seguridad y la privacidad muy seriamente", añadiendo tras la publicación del artículo que "están determinados a trabajar con Mr. Neiderman para mitigar cualquier posible vulnerabilidad".

Fuente: Motherboard
Pues no se, tizen viene de meego, y meego de maemo. Maemo era la ostia, se lo han debido de cargar por el camino con tanta fusión
jcesar escribió:se lo han debido de cargar por el camino con tanta fusión

Es lo que parece:
One example he cites is the use of strcpy() in Tizen. "Strcpy()" is a function for replicating data in memory. But there's a basic flaw in it whereby it fails to check if there is enough space to write the data, which can create a buffer overrun condition that attackers can exploit. A buffer overrun occurs when the space to which data is being written is too small for the data, causing the data to write to adjacent areas of memory. Neiderman says no programmers use this function today because it's flawed, yet the Samsung coders "are using it everywhere."
Pues esta la cosa como para no tener seguridad en moviles o TV.

Black Mirror Temp. 3 Cap. 3 " Callate y baila". [mad]
melado escribió:
jcesar escribió:se lo han debido de cargar por el camino con tanta fusión

Es lo que parece:
One example he cites is the use of strcpy() in Tizen. "Strcpy()" is a function for replicating data in memory. But there's a basic flaw in it whereby it fails to check if there is enough space to write the data, which can create a buffer overrun condition that attackers can exploit. A buffer overrun occurs when the space to which data is being written is too small for the data, causing the data to write to adjacent areas of memory. Neiderman says no programmers use this function today because it's flawed, yet the Samsung coders "are using it everywhere."

Cuando he leído que habían metido Bada (!!!) con calzador casi me ha dado un chungo.
jcesar escribió:Pues no se, tizen viene de meego, y meego de maemo. Maemo era la ostia, se lo han debido de cargar por el camino con tanta fusión



Me pasaron hace tiempo un link de un ex-empleado de Nokia que decía el tremendo desastre que fue el desarrollo de Meego. A ver si lo encuentro.

EDIT: https://muropaketti.com/artikkelit/the- ... okia-meego
Paté de gato escribió:
jcesar escribió:Pues no se, tizen viene de meego, y meego de maemo. Maemo era la ostia, se lo han debido de cargar por el camino con tanta fusión



Me pasaron hace tiempo un link de un ex-empleado de Nokia que decía el tremendo desastre que fue el desarrollo de Meego. A ver si lo encuentro.

Entonces de ahi vendra parte del problema
De los moviles me preocupo menos, ya que la penetracion del sistema es minima, pero en teles y relojes es preocupante y mas porque las teles samsumg son de las mas vendidas..
jcesar escribió:Pues no se, tizen viene de meego, y meego de maemo. Maemo era la ostia, se lo han debido de cargar por el camino con tanta fusión

Meego fue la fusión de Moblin y Maemo, y entre que tuvieron que dar soporte x86, y que los directivos de Symbian habian mareado al equipo de Maemo por miedo a perder bonus, Meego a saber como era.

Lo que no sabía es que Tizen venia de Meego :O :O
cercata escribió:Meego fue la fusión de Moblin y Maemo, y entre que tuvieron que dar soporte x86, y que los directivos de Symbian habian mareado al equipo de Maemo por miedo a perder bonus, Meego a saber como era.

Lo que no sabía es que Tizen venia de Meego :O :O


Por lo que estoy leyendo en realidad no desciende de MeeGo, si no de LiMo. Una amiga mía tuvo uno de esos, el Samsung Vodafone 360.

Imagen
Pensé que lo habían abandonado, como a Bada.
Paté de gato escribió:
cercata escribió:Meego fue la fusión de Moblin y Maemo, y entre que tuvieron que dar soporte x86, y que los directivos de Symbian habian mareado al equipo de Maemo por miedo a perder bonus, Meego a saber como era.

Lo que no sabía es que Tizen venia de Meego :O :O


Por lo que estoy leyendo en realidad no desciende de MeeGo, si no de LiMo. Una amiga mía tuvo uno de esos, el Samsung Vodafone 360.

Imagen


Pues tienes razón, en teoría iba a ser fusión entre LiMo y MeeGo, pero al final no lo fue. Lo ponen como su sucesor pero no tiene nada de él.
Uhh! Linux y coladero para hackers en el mismo artículo.

Si ya sé que no es Linux mismamente dicho, pero ya verás como dentro de poco salen artículos diciendo que Linux es inseguro. [looco]
Anda que mira que es dificil, pero Samsung esforzándose más en ser siempre "la bomba". [jaja]
PussyLover escribió:Uhh! Linux y coladero para hackers en el mismo artículo.

Si ya sé que no es Linux mismamente dicho, pero ya verás como dentro de poco salen artículos diciendo que Linux es inseguro. [looco]
Anda que mira que es dificil, pero Samsung esforzándose más en ser siempre "la bomba". [jaja]


Yo que llevo usando GNU/Linux a diario bastante más de 10 años, cuando oía lo de que a Linux no llegaba malware y era seguro por ser una plataforma minoritaria, no me creía ese argumento. Luego conocí Android.
Paté de gato escribió:
PussyLover escribió:Uhh! Linux y coladero para hackers en el mismo artículo.

Si ya sé que no es Linux mismamente dicho, pero ya verás como dentro de poco salen artículos diciendo que Linux es inseguro. [looco]
Anda que mira que es dificil, pero Samsung esforzándose más en ser siempre "la bomba". [jaja]


Yo que llevo usando GNU/Linux a diario bastante más de 10 años, cuando oía lo de que a Linux no llegaba malware y era seguro por ser una plataforma minoritaria, no me creía ese argumento. Luego conocí Android.


Nada es imposible en esta vida. [sonrisa]
PussyLover escribió:Uhh! Linux y coladero para hackers en el mismo artículo.

Si ya sé que no es Linux mismamente dicho, pero ya verás como dentro de poco salen artículos diciendo que Linux es inseguro. [looco]
Anda que mira que es dificil, pero Samsung esforzándose más en ser siempre "la bomba". [jaja]


Todo sistema es potencialmente inseguro. Lo que en teoria hace a Linux más seguro que otros sistemas operativos es la velocidad de respuesta de la comunidad para sacar una actualización que tape los agujeros de seguridad; sin embargo, sin importal la plataforma, el hecho es que la seguridad depende más de las buenas prácticas de los administradores del servidor y de los desarrolladores de aplicaciones que del propio sistema operativo.

Un windows puede ser tan seguro como un linux si se aplican buenas prácticas, y un linux puede ser el sistema más inseguro si se deja en manos de alguien que no conoce mucho de la plataforma.

Como decimos los ingenieros, los mayores agujeros de seguridad se encuentran en la capa 8 (El usuario).

En el caso de Tizen y Android, son verdaderos quesos gruyere en cuanto a seguridad no por la plataforma como tal (Linux), si no por las malas practicas de programación de las capas superiores.
@PussyLover

En windows 10 mobile no tenia que estar preocupado de nada, ahora con un xiaomi tengo que estar alerta si me instalo un apk extraño y la misma basura de siempre.
keverson303 escribió:@PussyLover

En windows 10 mobile no tenia que estar preocupado de nada, ahora con un xiaomi tengo que estar alerta si me instalo un apk extraño y la misma basura de siempre.


Los Xiaomi si funcionan directamente ya es un milagro. Tengo una compañera de trabajo que ya ha tenido dos y si funcionan las Apps o el GPS mismamente ya es un milagro.
keverson303 escribió:@PussyLover

En windows 10 mobile no tenia que estar preocupado de nada, ahora con un xiaomi tengo que estar alerta si me instalo un apk extraño y la misma basura de siempre.


Ya te digo. En mi calculadora Casio, después de una década, ni un virus, ni rastro de malware. Ahora con estos dispositivos modernos que se han puesto de moda tienes que ir con cuidado porque a la mínima te entra algo. Una locura.

PussyLover escribió:
keverson303 escribió:@PussyLover
Los Xiaomi si funcionan directamente ya es un milagro. Tengo una compañera de trabajo que ya ha tenido dos y si funcionan las Apps o el GPS mismamente ya es un milagro.


Uff, pues voy a devolver el que acabo de comprar y también el que llevo usando 3 años. También les diré a mis familiares y amigos que tengan Xiaomis que los devuelvan o los vendan porque si la experiencia de tu amiga ha sido mala, es que no deben valer nada.
Alecs7k escribió:
keverson303 escribió:@PussyLover

En windows 10 mobile no tenia que estar preocupado de nada, ahora con un xiaomi tengo que estar alerta si me instalo un apk extraño y la misma basura de siempre.


Ya te digo. En mi calculadora Casio, después de una década, ni un virus, ni rastro de malware. Ahora con estos dispositivos modernos que se han puesto de moda tienes que ir con cuidado porque a la mínima te entra algo. Una locura.

PussyLover escribió:
keverson303 escribió:@PussyLover
Los Xiaomi si funcionan directamente ya es un milagro. Tengo una compañera de trabajo que ya ha tenido dos y si funcionan las Apps o el GPS mismamente ya es un milagro.


Uff, pues voy a devolver el que acabo de comprar y también el que llevo usando 3 años. También les diré a mis familiares y amigos que tengan Xiaomis que los devuelvan o los vendan porque si la experiencia de tu amiga ha sido mala, es que no deben valer nada.


Comparas Windows 10 Mobile con una calculadora casio? [facepalm]
Android es una calculadora casio al lado de Windows 10 Mobile, con muchas más apps, pero una calculadora
@PussyLover Llevo usando mas de 1 año xiaomi 0 problemas, incluso mejor que las marcas "top".
Tizen es una p*ta basura, yo cada vez que lo uso en mi TV para cualquier cosa se me termina colgando, hasta para ver youtube, y el soporte de códecs es aún peor, tanto es así que tengo que usar una raspberry a su lado para ver cualquier cosa que no esté en avi o en mkv, o el mismo youtube sin que se pete. Le conecto el HDD USB3, la mitad de los vídeos no son compatibles, la otra mitad van lentos, y si intento conectarlo con la red local tampoco me conecta incluso sin ponerle credenciales a la carpeta que comparto cawento
Estos tipos israelíes le han hecho una buena faena a Samsung sacando a la luz todo esto, pero si es verdad a jod.......
keverson303 escribió:@PussyLover

En windows 10 mobile no tenia que estar preocupado de nada, ahora con un xiaomi tengo que estar alerta si me instalo un apk extraño y la misma basura de siempre


Es que tu comparacion no es la mas normal tampoco, windows 10 mobile que no dices como instalabas cosas como por ejemplo si lo hacias todo via tienda apps, a instalar un apk, que a saber de donde sa salido. En android si instalas cosas de la tienda de apps y no metes nada raro, no es seguro, pero mas que instalar cosas asi a lo loco.
@Messiahs

Por ejemplo windows 10 mobile me apunto a todas las betas de apps sin ningun problema en cambio en android he tenido alguna que otra flipada.
keverson303 escribió:@Messiahs

Por ejemplo windows 10 mobile me apunto a todas las betas de apps sin ningun problema en cambio en android he tenido alguna que otra flipada.


Pero la pregunta es la misma, las betas las instalabas via una tienda de windows o te bajabas los archivos de internet y los metias? Por que no es lo mismo, en la primera hay un proceso previo de analisis aunque sean betas, que si se colaran cosas pero es menos probable.
Con un APK bajado de internet dentro puede haber cualquier cosa y tu le das permisos plenos para instalarla sin verificacion por ningun lado [+risas] .
26 respuestas