کشف ۴۰ آسیب‌پذیری روز-صفرم در سامانه عامل متن‌باز Tizen متعلق به سامسونگ

ما همواره دلمان می‌خواهد تا دستگاه تلفن همراهمان امن باشد ولی این خواسته همیشه محقق نمی‌شود. به‌طور مثال تلفن همراه سامسونگ را در نظر بگیرید که بر روی دستگاه‌های خود از سامانه عامل متن‌بازی که خود توسعه داده با نام Tizen استفاده می‌کند و محققان امنیتی در حال حاضر ۴۰ آسیب‌پذیری روز-صفرم را بر روی آن کشف کرده‌اند.

به‌عبارت دیگر، با استفاده از سامانه عامل Tizen رویای نفوذگران به حقیقت می‌پیوندد. تمامی این آسیب‌پذیری‌ها توسط یک محقق از رژیم صهیونیستی کشف شده و به مهاجم اجازه می‌دهد از راه دور میلیون‌ها تلویزیون هوشمند سامسونگ، ساعت‌های هوشمند و حتی تلفن‌های همراه را مورد نفوذ قرار دهند. برای بهره‌برداری از این آسیب‌پذیری‌ها نیازی به دسترسی فیزیکی به دستگاه نیست.

ماه گذشته شاهد بودیم که ویکی‌لیکس قابلیت‌های نفوذ سازمان سیا را افشاء کرد و در آن، یک بهره‌برداری از تلویزیون‌های هوشمند سامسونگ نیز وجود داشت. در این بهره‌برداری نفوذگران می‌توانستند با استفاده از بدافزاری که از طریق فلش USB نصب می‌شود، به دستگاه سامسونگ حمله کنند. حال باید بگوییم نگرانی بیشتر زمانی بوجود می‌آید که از این آسیب‌پذیری‌ها در سامانه عامل Tizen مطلع می‌شویم که از راه دور نیز قابل بهره‌برداری هستند.

در چند سال گذشته، شرکت سامسونگ تلاش داشته تا وابستگی خود به شرکت گوگل و سامانه عامل اندروید را کاهش دهد. سامانه عامل Tizen راه‌حل این شرکت برای این مشکل بود که در حال حاضر بر روی ۳۰ میلیون تلویزیون هوشمند، ساعت‌های هوشمند و تلفن‌های همراه این شرکت در کشورهایی مانند روسیه، هند و بنگلادش مورد استفاده قرار می‌گیرد. نکته‌ی جالب توجه دیگر این است که سامانه عامل Tizen وارد حوزه‌ی اینترنت اشیاء شده و در ماشین‌های ظرفشویی و یخچال فریزرها نیز مورد استفاده قرار می‌گیرد.

به گزارش این محقق امنیتی، تمامی این آسیب‌پذیری‌ها حیاتی بوده و می‌تواند کنترل کامل دستگاه را در اختیار نفوذگران قرار دهد. این محقق می‌گوید در فروشگاه رسمی این سامانه عامل با نام TizenStore یک آسیب‌پذیری مربوط به طراحی وجود دارد که به نفوذگر اجازه می‌دهد نرم‌افزارها را به سرقت برده و کد مخرب را به تلویزیون‌های سامسونگ تحویل دهد. به‌دلیل اینکه این فروشگاه دارای امتیازات سطح بالا است، با نفوذ به آن، مهاجم می‌تواند هرکاری که بخواهد را انجام دهد.

این محقق عنوان کرده که سامسونگ در کدهای خود از روش‎های قدیمی استفاده کرده است. در صدر این روش‌های قدیمی، برنامه‌نویسان سامسونگ در پیاده‌سازی یک کانال امن SSL برای انتقال داده‌های حساس نیز با شکست مواجه شده‌اند. محققان چندین بار با سامسونگ تماس گرفته‌اند ولی پاسخی دریافت نکرده‌اند. پس از انتشار مقاله‌ای توسط مادربورد در مورد این آسیب‌پذیری‌ها، سامسونگ با این محقق امنیتی تماس گرفته و از او خواسته تا همراه با کارشناسان امنیتی این شرکت، برای برطرف کردن آسیب‌پذیری‌ها تلاش کنند.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.