Meio Bit » Segurança » Tizen OS da Samsung possui um código entupido de falhas

Tizen OS da Samsung possui um código entupido de falhas

Código do Tizen, o SO da Samsung para smartwatches, Smart TVs e alguns smartphones está cheio de bugs e não segue as normas de Segurança da Informação.

7 anos atrás

Embora a Samsung insista o Tizen, o sistema operacional de código livre criado por ela em parceria com a Intel e a Linux Foundation não emplacou em smartphones. A ideia de fornecê-lo como uma alternativa ao Android era risível desde o início, mas mesmo assim a companhia sul-coreana insistiu com sua própria linha Samsung Z, dispositivos voltados para o mercado emergente da Ásia que até vendem bem.

Ele se deu bem em Smart TVs e smarwatches da Samsung, e também é voltado para algumas aplicações de IoT como wearables. No entanto os desenvolvedores do sistema não fizeram o dever de casa: uma pesquisa conduzida pelo profissional de segurança Amihai Neiderman revelou pelo menos 40 falhas no código do SO, o que ele se referiu como "o pior que eu já vi na vida".

Segundo a denúncia o Tizen é um sistema basicamente escrito em POG. A maior parte do código foi herdado dos projetos iniciais da Intel e da Samsung, quando esta entrou na joint original iniciada por Intel e Nokia ao trazer e fundir o antigo Bada em 2013, mas a maioria esmagadora dos bugs foram encontradas nas porções recentes do código-fonte. Não é questão apenas de erros isolados e sim de más práticas, sem o menor critério ou conhecimento das bases defendidas em Sistemas de Informação. Neiderman diz que "é como se o Tizen tivesse sido programado por universitários", ao invés de profissionais.

O código do sistema, escrito em C++ possui uma série de anomalias, inclusive as mais crassas como o uso inadequado da função strcpy(), o que pelo fato da linguagem não ter proteções nativas contra acesso ou sobrescrita leva a casos de estouro de buffer (ou transbordamento de dados, usando a terminologia mais correta). O uso de SSL também é precário, e o sistema tende a compartilhar informações sensíveis no aberto. Lembra da polêmica recente das TVs da Samsung vazando dados? Por isso.

Essas falhas terríveis seriam o principal motivo de porque o Tizen não migra para plataformas maiores da Samsung: ela não é besta de trocar o Android, que apesar dos pesares é muito mais sólido por uma gambiarra em seus produtos tops de linha, como os smartphones da linha Galaxy S ou mesmo outros produtos voltados para mercados de entrada. Neiderman diz que de todas as falhas detectadas a mais grave é a presente na TizenStore: as brechas no design da loja permitem que um hacker injete códigos maliciosos na forma de apps falsos, visto que um usuário comum tem acesso quase irrestrito ao sistema sem muito esforço.

A descoberta das falhas não é nova, mas a Samsung escolheu não dar importância a elas: ao contatar a empresa num primeiro momento, a única resposta que Neiderman recebeu foi um e-mail automático. Quando o profissional tornou as falhas públicas através da Security Analyst Summit, convenção de segurança promovida pela Kaspersky Labs que está sendo realizada nesta semana e ao fornecer as informações para o Motherboard, a companhia enfim veio a público informar que "leva segurança e privacidade muito a sério", e que ouvirá o que o pesquisador tem a dizer a partir de agora. Ou seja, só se mexeram depois que o caso bateu no ventilador. Melhor que nada, mas poderia ser mais pró-ativa.

Fonte: Motherboard.

relacionados


Comentários