Smart TV od Samsungu sú podľa zistení experta deravé ako rešeto, Samsung ťažko zvozil

Značky: bezpečnosťSmart TVSamsung

DSL.sk, 5.4.2017

Operačný systém Tizen vyvíjaný a presadzovaný najmä Samsungom a používaný zatiaľ najmä v jeho Smart TV z posledných rokov má množstvo bezpečnostných chýb, z ktorých viaceré umožňujú na diaľku TV postavené na tomto OS hacknúť.

Tvrdí to bezpečnostný expert Amihai Neiderman, ktorý o výsledkoch svojich zistení informoval v pondelok na bezpečnostnej konferencii Security Analyst Summit spoločnosti Kaspersky Lab. Svoje kompletné zistenia zatiaľ nezverejnil, viacero informácií ale poskytol serveru Motherboard.

Podľa Neidermana, ktorý je šéfom výskumu softvérovej spoločnosti Equus Software, je navyše kód Tizenu veľmi nekvalitný a tvorcov za to veľmi tvrdo kritizuje. Zároveň podľa jeho informácií Samsung nereagoval na kontakt so snahou chyby nahlásiť a záujem prejavil až keď Neiderman pripravoval zverejnenie informácií.

Chyby v Tizene a Smart TV

Konkrétne informácie o všetkých chybách zatiaľ nie sú k dispozícii, zatiaľ dostupné informácie sú ale alarmujúce.

Podľa stručnej charakterizácie Motherboard má ísť dokonca až o 40 doteraz neznámych 0-days chýb, ktoré všetky umožňujú na diaľku hacknúť Smart TV alebo ďalšie zariadenia s Tizenom.

Podľa ZDnet má byť podľa experta takmer každá Smart TV Samsungu predaná v posledných dvoch rokoch zraniteľná. Či Samsung v posledných dvoch rokoch u Smart TV už využíval len Tizen alebo tým bol charakterizovaný podiel zraniteľných TV len zo Smart TV s týmto OS nie je jasné.

Neiderman pre Motherboard a na konferencii zverejnil detaily jednej zraniteľnosti. Nachádza sa v predinštalovanej aplikácii TizenStore pre prístup do obchodu s aplikáciami. Pomocou chyby pretečenia heapu dokáže útočník vzdialene spustiť zvolený kód a keďže aplikácia beží s najvyššími oprávneniami, získať kontrolu nad TV.

Detaily ako môže útočník chybu zneužiť zatiaľ k dispozícii nie sú, predpokladane to je ale možné minimálne manipuláciou sieťovej prevádzky TV.

Podľa vyjadrení Neidermana je zraniteľná takmer každá systémová aplikácia.

Linuxový operačný systém Tizen vznikol najmä na základoch LiMo, integrované boli doň napríklad ale aj komponenty z ďalšieho operačného systému Samsungu Bada. Formálne je tento OS vyvíjaný pod záštitou Linux Foundation a presadzovaný organizáciou Tizen Association, vývoj ale realizuje najmä Samsung prípadne v spolupráci s Intelom. Chyby sa podľa experta nachádzajú najmä v novom kóde z posledných dvoch rokov, kedy ho intenzívne vyvíja najmä Samsung.

Tizen používa Samsung aj na smart hodinkách a smartfónoch na niektorých najmä rozvojových trhoch. Vzhľadom na celkový malý úspech smart hodiniek sa s ním je na rozvinutých trhoch zatiaľ možné stretnúť ale najmä v Smart TV. Tizen je podľa experta použitý konkrétne v 21 miliónoch Smart TV.

Nekvalitný kód

Neiderman tvrdo kritizuje aj celkovú kvalitu kódu, výsledkom ktorej je zrejme časť zraniteľností.

"Je to možno najhorší kód, aký som kedy videl," uviedol pre Motherboard. "Všetko čo môžete spraviť zle, oni spravili. Môžete vidieť, že tento kód nevidel ani nenapísal nikto s chápaním bezpečnosti. Je to ako zobrať študenta a nechať ho naprogramovať váš softvér," dodáva v tvrdej kritike.

Podľa experta chyby v kóde sú takého typu, aké robili programátori pred 20 rokmi.

Konkrétne kritizuje okrem iného bežné používanie funkcie strcpy() pre kopírovanie pamäte, ktorá môže pri absencii kontroly veľkosti cieľa kopírovania vyústiť do pretečenia bufferov.

Podľa Neidermana sa táto funkcia už z dôvodu bezpečnosti pri vývoji nepoužíva, v Tizene sa používa ale všade. Či sú v kóde prítomné kontroly na veľkosť kopírovaných dát a bufferov explicitne neuvádza.

Ďalej kritizuje používanie šifrovania pri komunikácii. To je na niektorých miestach použité, na tých kde by malo byť ale podľa experta často chýba. "Spravili veľa zlých predpokladov o tom, kde potrebujú šifrovanie," uvádza. Podľa niektorých znakov išlo zrejme o vedomé rozhodnutia šifrovanie na dané účely nepoužiť, teda vedomé zlé rozhodnutie a nie napríklad opomenutie.

Problematický prístup

Problematický bol podľa informácií Neidermana aj prístup k bezpečnosti z pohľadu reakcie na snahu nahlásiť problémy.

Podľa svojich informácií kontaktoval Samsung emailom už pred mesiacmi s cieľom chyby nahlásiť, dostal ale len automatickú odpoveď. Na akej adrese Samsung kontaktoval nie je jasné.

V každom prípade Samsung ho mal kontaktovať až keď zistil, že sa chystá so svojimi zisteniami vystúpiť na bezpečnostnej konferencii.

Bezpečnosť Samsung Smart TV pod paľbou

Bezpečnosť Smart TV od Samsungu je v poslednom období pod ťažkou paľbou závážných informácií o chybách a jednoduchom infikovaní.

Najskôr uniknuté údajné dokumenty CIA ukázali, že táto americká spravodajská služba má vyvinutý nástroj na hackovanie TV od Samsungu. Staršie dokumenty CIA explicitne hovorili len o infekcii po fyzickom prístupe ku konkrétnemu staršiemu modelovému radu TV cez USB.

Zároveň bezpečnostný expert Rafael Scheel zo spoločnosti Oneconsult ale zverejnil informácie o hacknuteľnosti Smart TV Samsungu vzdialene, s podvrhnutím obsahu cez HbbTV cez DVB-T vysielanie a následným zneužitím chýb v prehliadači cez stiahnutý podvrhnutý obsah. Kým prinútenie stiahnutie obsahu cez DVB-T / HbbTV je zrejme otázkou podoby tohto štandardu, zraniteľnosti vo webovom prehliadači už sú problémom TV od Samsungu.

Expert tvrdí, že "potenciálnymi obeťami podobných útokov" je až 90% Smart TV predaných v posledných rokoch. To by zahŕňalo Smart TV aj iných výrobcov. Nie je ale jasné, čo presne touto charakterizáciou myslel, z čoho vychádza a či tým nemyslel len percento TV podporujúcich HbbTV a DVB-T. Detailnú analýzu o zraniteľnosti rozličných modelov totiž nezverejnil a ak by identifikoval konkrétne chyby aj v TV iných značiek, pravdepodobne by tieto informácie pre zvýšenie svojho kreditu tiež zverejnil.




Najnovšie články:



Diskusia:

Hnus... Od: Menovec | Pridané: 5.4.2017 12:52 Čakal niekto pochvalu??? To jediné určite nie! Odpovedať Známka: 2.2 Hodnotiť:

Re: Hnus... Od reg.: akoze | Pridané: 5.4.2017 14:27 s ohladom na to ze sa predavaju dobre, kolko penazi do vyvoja a marketingu nasypali si myslim ze ide o ukazkovu business success story. Odpovedať Známka: 7.1 Hodnotiť:

prefikani Korejci Od: neprihlaseny uzivatel | Pridané: 5.4.2017 12:54 Televizor od Samsungu by som nechcel uz len koli tej marketingovej masazi co skusaju na ludi. Kedysi prisli s reklamnym pojmom LED TV, hoci to bolo obycajne LCD s EDGE LED podsvietenim. Teraz skusaju nieco podobne, ked predstavili QLED TV aby navodili dojem ze to ma nieco spolocne s OLED. Odpovedať Známka: 4.5 Hodnotiť:

Re: prefikani Korejci Od: Menovec | Pridané: 5.4.2017 13:05 Hej, ojebov je všade plno. Ale tá strašné zlá kvalita im smradí pod nosom už desaťročia... Odpovedať Známka: 2.6 Hodnotiť:

Re: prefikani Korejci Od: karolkooooo | Pridané: 6.4.2017 0:01 sak aj biznis je len ojeb, ako vytiahnut z ludi peniaze :( Odpovedať Známka: 6.0 Hodnotiť:

Re: prefikani Korejci Od: Fickmich | Pridané: 6.4.2017 9:33 Ak zrovnavas tieto dve veci, neda mi nebyt vulgarny a nazvat ta okatym cockpitom Odpovedať Známka: 0.0 Hodnotiť:

Re: prefikani Korejci Od: anonymus1 | Pridané: 5.4.2017 13:31 Nepovedal by som, ze TV od Samsungu su nekvalitne. V kategorii LCD su na tom dost dobre podla mna, zalezi od modelu. Mne skor vadi ich marketing. Snazia sa zaplavit trh mnozstvom modelov s roznymi oznaceniami tak, aby sa v tom obycajny clovek nevyznal. Staci pozriet do bezneho elektra a polovica TV v ponuke su same Samsungy plus/minus podobne modely. To iste maju s mobilmi. Tiez platia predavacom premie, ak odporucia ich znacku. Predavaci tak castokrat odporucia neznalemu zakaznikovi TV nie na zaklade kvality, ale len kvoli tomu, aby dostali baksis od Samsungu. Ale tak ktory predavac v dnesnej dobe sa fakt vyzna v tom co predava, ze... Mal som Samsung LCD a za tu cenu bol fajn. Teraz mam LG OLED a to sa samozjreme neda porovnavat so ziadnym LED/SUHD/QLED alebo akokolvek Samsung teraz nazyva ich LCD TV. Ale ak by v buducnosti bol nejaky OLED od Samsungu, tak o kvalitu by som sa nebal (neratam ten prototyp co vypustili na trh niekedy v roku 2013 snad omylom). Odpovedať Známka: 4.8 Hodnotiť:

Re: prefikani Korejci Od: hvst | Pridané: 5.4.2017 19:40 Ake premie?? 4 mesiace som pracoval v elektre. Ludia chodia tie šity menom samsung pytat sami. Pritom ked im clovek ponukne LG, Sony, cokolvek ine, tak nie nie tie su zle a nekvalitne, lebo sused ma samsung a je spokojny. A tie premie...typek od Samsungu chodil kazdy tyzden popozerat, ze ako idu predaje, ale doniesol maximalne nejake pera. To boli asi tie premie. Odpovedať Známka: 8.5 Hodnotiť:

Re: prefikani Korejci Od reg.: roob_ | Pridané: 5.4.2017 22:39 lg by som nechcel ani ponozky. Samsung mam 24" z 2009 a 32" z 2011 a slapu jak hodinky. Odpovedať Známka: -10.0 Hodnotiť:

Re: prefikani Korejci Od: antiadmin | Pridané: 5.4.2017 22:55 Ty budes presne ten typ, ktoreho vyssie opisoval - ja mam samsung, samsung je naj, ostatok je odpad Odpovedať Známka: 10.0 Hodnotiť:

Re: prefikani Korejci Od: hmm. | Pridané: 6.4.2017 0:26 Aspoň že nezahlásil že počítače s Windows sú už na ústupe a ich existencia končí a že ich nahradí TV s Android systémom, aj takí experti existujú... Odpovedať Známka: 10.0 Hodnotiť:

Re: prefikani Korejci Od: baba | Pridané: 6.4.2017 9:13 Pre niektorých ľudí by malo byť povinné, aby nahradili počítače tými TV s Androidom. Aj tak to používajú iba na internet, a v TV by aspoň nemohli porobiť také hlúposti, ako v PC. Kto to už raz musel naprávať, pochopí. Odpovedať Známka: 10.0 Hodnotiť:

Re: prefikani Korejci Od: zxzx | Pridané: 6.4.2017 17:59 Zas aby pri zapnani mrzla telka a musel si ju restartovat...To tiez nie je ziadna vyhra :) Odpovedať Známka: 10.0 Hodnotiť:

Re: prefikani Korejci Od: trzrez | Pridané: 5.4.2017 19:41 Este sa mi pacili ludia, ktori si na nete precitali ze Samsung ma SUHD, co je lepsie, nez 4K, pritom je to zas len marketing. Diagnoza slovensko... Odpovedať Známka: 10.0 Hodnotiť:

Re: prefikani Korejci Od: Alfonz Miracle | Pridané: 6.4.2017 6:49 Ak porovnáš najvyšší model SUHD LCD od Samsungu s najvyšším modelom UHD (alebo ak chceš 4K) LCD od LG, tak tam je veľký rozdiel v homogenite, v čiernej, v kontraste, vo farebnosti, či v zobrazení bielej plochy. Príklad za všetky nejaká K9000 vs UH950, ktorá je v statickom kontraste asi 5x horšia, v čiernej asi 4,5x horšia, v HDR sa hodnoty pohybujú 2x až 4x nižšie, v homogenite panelov (celá čierna alebo biela plocha) približne 3x, v antireflex úprave je odleskovosť asi 3x horšia a naviac Smamsung má aj nižší Input lag a netrpí retenciou obrazu (statický obraz sa na chvíľu "vypáli" do panelu). A nechcite porovnať výbornú KS7000 s najhorším modelom UH770. Nazvať preto TV ako SUHD má teda svoje opodstatnenie a človek vie, že to bude niečo iné, ako UHD TV od iného výrobcu. Odpovedať Známka: 5.6 Hodnotiť:

Re: prefikani Korejci Od: gdfbd | Pridané: 6.4.2017 18:02 Rozpisal si sa hojne, ale porovnaval som parameter SUHD vs. 4K (UHD), cize rozlisenie. Myslis si, ze plebsu hovoria nieco parametre kontrastny pomer, obnovovacia frekvencia, homogenita panelov? Plebs chce 4K telku a pozera na tom DVBT chytane cez kus drotu. Potom sa chodia do predajne vadit, ze oni taky obraz doma nemaju a ukazuju na demo. Odpovedať Známka: 6.7 Hodnotiť:

Re: prefikani Korejci Od: Alfonz Miracle | Pridané: 6.4.2017 18:16 Rozlíšenie môže byť tiež rozdielne. LG má totiž špecialitku v podobe RGBW UHD panelov, ktoré nemajú UHD rozlíšenie a označované sú ako Fake 4K. Takže si to zhrňme. SUHD nie je len marketingový názov, ale je to skutočné UHD a skutočne lepšími parametrami obrazu. Odpovedať Známka: 6.0 Hodnotiť:

Re: prefikani Korejci Od: anonymus1 | Pridané: 6.4.2017 18:44 SUHD je len marketingove oznacenie pre high-end modely Samsungu. Tie TV nie su nicim vynimocne v porovnani s high-end LED televizormi od Panasonicu a Sony. Ked porovnavas LG, tak suhlasim, LG takmer vzdy zaostavalo v kvalite LCD TV. Ale ked uz porovnavame high-end, tak treba porovnavat ich UHD OLED TV, ktore su uplne iny level. Tym nechcem povedat, ze SUHD TV od Samsungu by neboli kvalitne. Len to treba porovnavat s TV na rovnakej urovni. Odpovedať Známka: 10.0 Hodnotiť:

Re: prefikani Korejci Od: Alfonz Miracle | Pridané: 6.4.2017 19:39 Na začiatku si treba povedať, že doba legendárnych Panasonic plaziem a nesmrteľných Sony Trinitronov už dávno skončila. Mal som Panasonic s 100Hz IPS panelom a mal mizerný obraz a o systéme škoda hovoriť, pritom to nebola lacná televízia. Takmer za rovnakú cenu mám väčší Samsung s 200Hz VA panelom (také sa už dnes ani nevyrábajú) a vo všetkom je to lepší TV. Dokonca aj dnes je Tizen lepší než Firefox OS v Panasonicu, ktorý mal a má stále napríklad problémy s multimédiami. A SONY? Tiež som ho mal v hľadáčiku, keď som chcel prejsť z Panasonicu na niečo iné, ale je tiež multimediálne tvrdohlavý. Obrazovo je celkom slušný, v pohybe dokonca nadštandard, ale homogenitou, farebnosťou, kontrastom, odleskami, latenciami zaostáva za napríklad veľmi podarené (aj cenovo) kúsky od Samsungu, ako KS8000 alebo ľudovejší KS7000. Odpovedať Známka: 6.7 Hodnotiť:

Re: prefikani Korejci Od reg.: hulo . | Pridané: 5.4.2017 13:33 Mám od Samsungu 42" plazmu a kvalita obrazu je dobrá. Spoľahlivosť tiež, šľape už 5 rokov. Mám problém len s aktualizáciou firmvéru, keď vďaka ich geniálnemu označovaniu modelov neviem nájsť na webe ten správny. Odpovedať Známka: 5.3 Hodnotiť:

Re: prefikani Korejci Od reg.: 1234567890x | Pridané: 5.4.2017 14:24 To bude asi preto, ze ziadna aktualizacia firmweru v podani samsungu nieje :-)))) (vo vacsine pripadov). Odpovedať Známka: 5.5 Hodnotiť:

Re: prefikani Korejci Od: mif | Pridané: 5.4.2017 17:37 A naco potrebujes fw update? Odpovedať Známka: 7.1 Hodnotiť:

Re: prefikani Korejci Od: zxcvbn | Pridané: 5.4.2017 17:55 Chce si nainstalovat aktualizacie backdoorov. Odpovedať Známka: 10.0 Hodnotiť:

Re: prefikani Korejci Od: nezmar | Pridané: 5.4.2017 15:01 čo je zle na edge led? Odpovedať Známka: -5.0 Hodnotiť:

Re: prefikani Korejci Od: Peter Kazimir | Pridané: 5.4.2017 16:05 V principe? Vsetko. Odpovedať Známka: 7.9 Hodnotiť:

Re: prefikani Korejci Od: dksksk | Pridané: 5.4.2017 23:44 edge led je isto lepsie ako direct led. videl som vselijake recenzie a vsade direct led krizitovali, lebo ked sa ukaze biela farba na ciernej, tak okolo bielej je sedy mrak a nevyzera to prirodzene take kusy mrakov po obrazovke, zvysok samozrejme cierne uplne. nez to v edge led je radsej cely obraz mierne sedy. Odpovedať Známka: -3.3 Hodnotiť:

KS7000 Od: Giccobe | Pridané: 5.4.2017 13:25 Ja mam KS7000 modelovu radu a na kvalitu obrazu si rozhodne nemozem stazovat. Hoci z toho Tizen je mi do placu... Odpovedať Známka: 6.0 Hodnotiť:

Re: KS7000 Od reg.: VWV . | Pridané: 5.4.2017 15:22 Staci TV pouzivat ako "monitor". Teda odpojit od siete a pouzivat externe zdroje signalu a si v pohode. Odpovedať Známka: 8.2 Hodnotiť:

Re: KS7000 Od: zxcvbn | Pridané: 5.4.2017 16:39 Podla toho co sa v clanku pise, by si tie ich televizory hackol aj signalom stareho ceskoslovenskeho monoskopu. Odpovedať Známka: 8.9 Hodnotiť:

. . Od: syntaxterrorXXX | Pridané: 5.4.2017 14:20 Mnozstvo expertov, schopnych erudovane hodnotit deravost resetom je priam zarazajuco* narastajuce. *vyzadujuc priekaznost Odpovedať Známka: -7.1 Hodnotiť:

svet plny buzzwordov Od: nestoji za rec | Pridané: 5.4.2017 14:29 Moznostvo "bezpecnostnych expertov" v poslednej dobe zaznamenalo raketovy narast. Ak najdem akukolvek zranitelnost, uz je zo mna bezpecnostny expert? Uz to trocha prehanaju... Odpovedať Známka: -0.8 Hodnotiť:

Re: svet plny buzzwordov Od: expertos | Pridané: 5.4.2017 14:52 tak najdi nejaku a potom sa ozvy. Odpovedať Známka: 0.8 Hodnotiť:

Re: svet plny buzzwordov Od: nestoji za rec | Pridané: 5.4.2017 15:26 si velmi zranitelny v oblasti gramatiky Odpovedať Známka: 7.3 Hodnotiť:

Re: svet plny buzzwordov Od: syntaxterrorXXX | Pridané: 5.4.2017 16:45 A priekazne to vie a preto sa jej strategicky vyhyba. Odpovedať Známka: 5.0 Hodnotiť:

ja by som bol rad Od: autobus | Pridané: 5.4.2017 14:50 nemaju sa na co stazovat pokial tie telky nehoria a nevybuchuju. Odpovedať Známka: 5.6 Hodnotiť:

Ved je to Od: lolo lop | Pridané: 5.4.2017 15:19 Takze si spravime jeden botnet, poprosim z TV, a nech ich je tam 10 milionov. ....to je co, spravis DDOS telkami :) Kto by to pred 10 rokmi povedal. heh Odpovedať Známka: 9.0 Hodnotiť:

Re: Ved je to Od: awwda | Pridané: 5.4.2017 15:38 a zober si, že časom príde práčkový, chladničkový alebo mikrovlnkový botnet... Odpovedať Známka: 8.0 Hodnotiť:

Re: Ved je to Od: debil_ | Pridané: 5.4.2017 16:19 smart vibrator botnet (nemal by som to sem pisat lebo paranoidny udavacsky kreten v tom bude hladat zmysel, ale budiz, nemozem si odpustit) Odpovedať Známka: 6.7 Hodnotiť:

Re: Ved je to Od: Bloatnet | Pridané: 5.4.2017 16:37 iŽiarovky,iBrátory,iChladničky,spojte sa! :) Odpovedať Známka: 8.2 Hodnotiť:

Re: Ved je to Od: stoneage | Pridané: 5.4.2017 20:48 http://dopice.sk/jnW Odpovedať Známka: 5.0 Hodnotiť:

Re: Ved je to Od: Aladin | Pridané: 5.4.2017 15:51 Pred pár rokmi tu bola hra, kde aj telky útočili, žeby to tvorcovia predpovedali? http://dopice.sk/jnT Odpovedať Známka: 7.1 Hodnotiť:

Využiteľnosť Od: Blackspart | Pridané: 5.4.2017 15:21 Hmm,asi si zaplatím Shodan na mesiac... Odpovedať Známka: 6.4 Hodnotiť:

Co iné? Od: Jdjdhdjsnsgchsshjd | Pridané: 5.4.2017 16:48 Reseto by design! Odpovedať Známka: 10.0 Hodnotiť:

strcpy Od: sensei-san | Pridané: 5.4.2017 17:32 > Konkrétne kritizuje okrem iného bežné používanie > funkcie strcpy() pre kopírovanie pamäte Samotné strcpy() problém nie je. Len to vyžaduje skúsenosti a disciplínu. Odpovedať Známka: 7.5 Hodnotiť:

Re: strcpy Od: syntaxterrorXXX | Pridané: 5.4.2017 18:13 Granpa Rick prave rafinovanym vyuzitim absencie kontroly zrusil nadvladu galaktickej federacie nad Zemou, takze nielen reptiliani panikaria. Odpovedať Známka: 2.0 Hodnotiť:

Re: strcpy Od: SyntaxJeboXYZ | Pridané: 5.4.2017 18:30 Bez primeranej urovne priekaznosti? Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár