Tientallen lekken in Samsung-software ontdekt

Tientallen lekken in Samsung-software ontdekt

Update: 26 april 2018 om 22:20
Praat mee!

In Samsungs Tizen-software die op miljoenen tv's en wearables werkt zijn maar liefst 40 nieuwe beveiligingslekken ontdekt.

De Israëlische security-expert Amihai Neiderman heeft 40 nieuwe beveiligingslekken ontdekt in Samsungs Tizen-software. Dit besturingssysteem staat op miljoenen producten, zoals smartwatches, smart-tv's en smartphones. De lekken zijn zogeheten zero-days, onontdekte software-kwetsbaarheden.

Onlangs bleek uit het Vault7-lek dat de Amerikaanse inlichtingendienst CIA mensen bespioneerde via Samsung smart-tv's. Voor die hack was toen nog fysieke toegang tot de tv nodig voor het aansluiten van een usb-stick. Door de lekken in Tizen zouden recente Samsung-tv's ook op afstand zijn te hacken.

Samsung ontwikkelt Tizen om minder afhankelijk te zijn van Google en diens Android, waarmee Samsungs populaire Galaxy-smartphones werken. Wereldwijd werken meer dan 30 miljoen Samsung-tv's met Tizen, net als miljoenen Samsung Gear-wearables en smartphones. De smartphones met Tizen zijn in Nederland officieel niet te koop.

'Slechtste code ooit'

"Dit is misschien wel de slechtste code die ik ooit heb gezien", zegt Neiderman over Tizen tegen de Amerikaanse techsite Motherboard. De onderzoeker gaf maandag een presentatie over zijn ontdekkingen tijdens een beveiligingsconferentie op Sint Maarten. "Niemand met voldoende verstand van beveiligingszaken heeft deze code vooraf gecontroleerd."

In een reactie zegt Samsung dat het inmiddels samenwerkt met Neiderman om de problemen op te lossen. Ook belooft de fabrikant aan security-onderzoekers die nieuwe softwarelekken in zijn smart-tv-systeem melden een financiële beloning. Neiderman raadt Samsung intussen vanwege de beveiligingsproblemen af om Tizen op meer nieuwe smartphones te zetten. 

Versleuteling ontbreekt 

Neiderman begon acht maanden geleden met het analyseren van de Samsung-code nadat hij zelf een Samsung TV met Tizen had gekocht. Het systeem verzuimt op sommige cruciale momenten SSL-versleuteling te gebruiken tijdens het versturen van gegevens. Toen de onderzoeker maanden geleden contact opnam met Samsung om de problemen te melden, kreeg hij alleen een geautomatiseerde e-mail terug. 

Lees meer:

Samsung overweegt Android in te ruilen voor Tizen

Uitlegparty: Tizen, het besturingssysteem van Samsung

5 vragen over zero-day software-lekken

Video

Tientallen lekken in Samsung-software ontdekt