Операционная система Tizen построена на базе ядра Linux. Она была разработана и продолжает поддерживаться участниками Technical Steering Group, в состав которой входят такие гиганты индустрии, как Intel и Samsung. И именно компания Samsung попыталась использовать Tizen в качестве своебразной замены Android.
Хотя полноценной замены из Tizen явно не вышло, в настоящее время под ее управлением работают около 30 миллионов «умных» телевизоров, стиральные машины, холодильники, «умные» часы (в том числе Samsung Gear), а также некоторые смартфоны Samsung, в основном выпускаемые для рынков России, Индии и Бангладеш. Так, в этом году компания планирует поставить на рынок более 10 миллионов Tizen-смартфонов,
Еще восемь месяцев назад Амихай Нейдерман (Amihai Neiderman), глава исследовательского подразделения израильской компании Equus Software, решил провести аудит безопасности ОС Tizen, так как, по его словам, больше этим вопросом никто не интересовался. На конференции Security Analyst Summit специалист выступил с докладом, рассказав о своих «находках», обнаруженных в ходе анализа. Дело в том, что Нейдерман выявил в ОС более сорока 0-day уязвимостей и пришел в ужас от качества кода. «Уязвимы практически все системные приложения», — сетует эксперт.
Исследователь обнаружил, что разработчики Samsung не стали утруждаться и позаимствовали немалую часть кода из операционной системы Bada, которую Samsung разрабатывала ранее. В итоге кодовая база ОС выглядит устаревшей «будто на дворе все еще 2005 год», — говорит Нейдерман.
«Это, вероятно, самый плохой код, что я видел в жизни. Всё, что можно было сделать неправильно, сделано неправильно. Очевидно, что люди, разбирающиеся в безопасности, даже не просматривали этот код и не писали его. Все равно что нанять недоучку и позволить ему написать для вас ПО», — рассказал исследователь журналистам Vice Motherboard.
Впрочем, большинство уязвимостей все-таки новые: они содержатся в коде, который был написан специально для Tizen в последние годы. К примеру, эксперту удалось взломать Samsung Smart TV при помощи уязвимости в каталоге приложений Tizen Store, который является эквивалентом Google Play Store. С помощью Tizen Store на устройство можно доставить любую малварь, а за счет высоких привилегий каталога возможности хакера ничем не ограничены, он получает полный контроль над устройством. Плюс heap overflow баг позволяет обойти аутентификацию Tizen Store.
Дальнейшее изучение ОС также выявило некорректное использование функции strcpy(), большие проблемы с реализацией SSL-шифрования, из-за которых информация передается в открытом виде, и множество других уязвимостей.
По словам Нейдермана, Samsung определенно планирует развивать Tizen и далее, для ОС явно готовят что-то крупное. В ходе своего выступления исследователь рассказал, что Samsung в частности призывает разработчиков писать для операционной системы больше приложений и активно расширяет инфраструктуру поддержки. «Велика вероятность, что в следующем году Galaxy S9 будут работать на Tizen, но ОС для этого еще недостаточно зрелая», — говорит специалист.
При этом за все прошедшие месяцы специалист так и не сумел связаться с представителями Samsung, хотя долго и безуспешно пытался сообщить им о проблемах. Только теперь, когда Нейдерман публично рассказал о небезопасности Tizen на Security Analyst Summit, и информация попала в прессу, представители Samsung «заметили» исследователя и поспешили заверить общественность, что работа над исправлением уязвимостей уже ведется. Нейдерман подтвердил, что связь с разработчиками Samsung налажена. В настоящий момент он помогает компании в работе над патчами.
Как показало исследование социальной сети «Одноклассники», 40% российских пользователей соцсетей никогда не меняли пароль после первичной настройки учетной записи.
Согласно результатам исследования, которые оказались в распоряжении «Лента Ру», основная масса пользователей (40%) никогда не меняет пароли.
Еще 30% делает это только тогда, когда получает уведомление о том, что учетные данные оказались среди тех, которые «утекли».
Более-менее регулярно меняют пароли только 30% пользователей. При этом 22% делают это через каждые 3-6 месяцев, а 8% — ежемесячно.
Двухфакторную аутентификацию применяет около трети пользователей. Наиболее распространены одноразовые СМС-коды (27 процентов) и звонки для сброса (5 процентов).
При этом четверть опрошенных не пользуется двухфакторной аутентификацией, хотя знает о такой возможности. Причем почти половина (43%) осознает, что отказ от двухфакторной аутентификации резко снижает уровень безопасности.
При создании паролей пользователи учитывают такие критерии, как легкость запоминания (30%), сложность пароля, включая цифры и символы (23%), а также использование паролей для каждого профиля (17%).
При этом более 35% не знают о возможностях менеджеров паролей, а 26% не видят необходимости в них. Только 8% применяют данный инструмент.
Как показало исследование, 37% пользователей оценивают безопасность своих учетных данных как среднюю, 14% — как высокую.
Проблема с невысоким качеством паролей носит глобальный характер. Как показало исследованиеNordVPN, на протяжении последних лет доминируют простые и легко подбираемые пароли.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
