contador gratis Saltar al contenido

Samsung Tizen está repleto de vulnerabilidades “Es el peor de todos”

septiembre 19, 2020

Tizen es el sistema operativo de código abierto que Samsung parece querer mantener casi al margen, para ser utilizado más extensamente si algún día tiene problemas con Android. Se puede aprovechar en varios dispositivos, como televisores inteligentes, PC, cámaras inteligentes, dispositivos portátiles como relojes inteligentes, teléfonos inteligentes y más. El fabricante usa este sistema en algunos televisores y relojes inteligentes, pero según un investigador de seguridad israelí, el código detrás de este sistema “es el peor de todos”.

Esta afirmación ya es pesada pero el experto hunde el cuchillo hablando de un código que parece estar desarrollado “por un estudiante universitario”. Afirma haber identificado 40 vulnerabilidades de día cero en Tizen y que estas no solo tratan con errores, sino que son vulnerabilidades críticas que permiten la ejecución remota de código, el santo grial al que apuntan los ciberdelincuentes (la capacidad de lanzar código en placer sin la necesidad de poner físicamente las manos en un dispositivo).

El investigador dice que algunas vulnerabilidades son tan obvias que son comprensibles incluso para aquellos que nunca han escrito una línea de código. Una sobre todo: Tizen no fuerza el uso de la capa SSL en los protocolos de comunicación, lo que hace que todas las transmisiones sean inseguras. También existe una vulnerabilidad que permite a los atacantes reescribir completamente el software del dispositivo. Esta falla tiene que ver con Tizen Store, que permite a un pirata informático enviar código malicioso presentándolo como una actualización. El sistema de actualización funciona con los privilegios de acceso más altos y es posible evitar las comprobaciones de paquetes presentando los paquetes como actualizaciones.

Algunos de los problemas de Tizen provienen de su adicción a Bada, el sistema operativo móvil de Samsung que en 2012 se fusionó con el nuevo para crear un único proyecto de código abierto. Bada no se ha desarrollado desde 2013, gran parte del código antiguo se ha portado a Tizen, pero Neiderman señala que hay muchas vulnerabilidades presentes en el código escrito específicamente para Tizen en los últimos años.

El investigador dice que se puso en contacto con Samsung hace meses para informar de las vulnerabilidades, pero que no mostraron interés. Solo después de la publicación de los detalles, la empresa respondió prometiendo investigar lo reportado.