Celah keamanan di software Samsung, bukan di Tizen?


Upaya untuk mencari celah keamanan di Tizen seperti yang diungkapkan oleh peneliti Israel terus dilakukan oleh pihak yang berkepentingan dalam pengembangan ekosistem Tizen, baik itu oleh tim pengembangan sistem operasi Tizen di Linux Foundation, Samsung Electronics, Intel maupun oleh komunitas Tizen. Namun kemajuan terus terhambat karena Amihai Neiderman, sang peneliti ini, tidak menjelaskan secara detil 40 kerentanan keamanan yang dia temukan sejauh ini.

"Peneliti belum memberikan daftar yang jelas dari 40 isu yang dia klaim sejauh ini," kata Carsten Haitzler, Master Engineer, Eksekutif di Samsung Electronics Software Center lewat Tizen mailing list.

Carsten Haitzler mengaku bahwa pihaknya sejauh ini hanya mengandalkan data dari slide yang dibawakan oleh Amihai Neiderman saat menjadi pembicara di acara Kaspersky Security Analyst Summit 2017 dimana dia menjelaskan adanya kerentanan zero-day di Tizen, dan sejauh ini sudah ada tindakan perbaikan. Dan dari 67 slide yang dibawakan, 49 slide diantaranya sama sekali tidak mengandung rincian yang sebenarnya.

Dan berdasarkan hasil analisanya, Carsten Haitzler memberikan catatan bahwa diantara semua celah keamanan yang ada di Tizen berdasarkan slide milik Amihai Neiderman sama sekali tidak ada hubungannya dengan strcpy, namun lebih kepada perilaku sscanf yang sebenarnya masih sah untuk digunakan tanpa mengandung kesalahan yang berarti. Hal ini bertolak belakang dengan klaim Amihai Neiderman sebelumnya yang mengatakan bahwa salah satu celah keamanan yang dia temukan terjadi karena penggunaan strcpy() di Tizen, sebuah fungsi untuk mereplikasi data dalam memori, dimana ada buffer overflow didalamnya.

Tizen sebenarnya telah menyediakan halaman khusus untuk pelaporan bug disini beserta tutorial untuk pelaporan bug secara rinci. Carsten Haitzler berharap Neiderman maupun siapa saja yang menemukan bug bisa melaporkannya secara lewat saluran resmi ini. Menurutnya, kerentanan adalah masalah serius dan juga harus ditangani dengan serius pula, karena adanya kerentanan atau bug sangat tidak baik untuk perkembangan sebuah platform atau produk.

"Setiap platform dan software pasti memiliki bug. Setiap minor update dari Android, iOS, Windows, dan lebih banyak OS yang lain adalah untuk memperbaiki puluhan jika tidak ratusan CVE [Common Vulnerabilities and Exposures-red] dan ini adalah fakta dari kehidupan. Beberapa adalah jenis buffer overflow, dan beberapa sesuatu yang lain. Cara praktis untuk menangani ini adalah dengan mengatasinya sesegera mungkin setelah ditemukan, memperbaikinya dan mengeluarkan pembaruan. Pada kasus ini ada sesuatu yang salah dalam hal komunikasi. Mengapa ini bisa terjadi, saya tidak tahu," jelas Carsten Haitzler. "Kerentanan keamanan adalah masalah serius. Apakah ini warisan kode open source, dalam kode yang khusus ditulis untuk Tizen sebagai platform atau untuk produk tertentu. Aku selalu menanggapi hal ini dengan serius."



Modifikasi Berakibat Kerentanan Keamanan

Walaupun belum menemukan kerentanan di Tizen, namun Carsten Haitzler tidak menampik akan kemungkinan adanya kemungkinan celah keamanan akibat modifikasi software yang dilakukan oleh Samsung maupun pihak lain. Dalam hal ini Samsung atau pihak lain mengambil kode open source Tizen kemudian memodifikasinya agar sesuai dengan perangkat mereka.

Jika ini yang terjadi maka yang bertanggung jawab memberikan pembaruan software adalah pihak yang memodifikasinya, termasuk jika ada kemungkinan muncul celah keamanan yang diakibatkan oleh software hasil modifikasi atau sofware lain yang berjalan pada platform Tizen. Pembuat perangkat memiliki kontrol penuh, dan di lain pihak otomotis akan membatasi kontrol oleh pengelola platform Tizen.

"Jika itu masalah yang terjadi pada platform maka dapat diperbaiki dari sisi platform yang, tetapi untuk grup produk atau perusahaan yang mengirimkankan produk adalah pihak yang bertanggung jawab atas apa yang Anda akhirnya dapatkan. Mereka tim yang sama sekali berbeda dan tidak ada satupun "Pimpinan Tizen" yang koheren yang memberitahu semua orang apa yang harus dilakukan dengan Tizen, bagaimana melakukannya dan kapan. Kita bisa memperbaiki bug yang ada di platform tetapi tidak dapat menjamin jika pembaruan akan dikirimkan untuk perangkat atau jika itu akan diubah seiring waktu ketika itu dikirimkan untuk perangkat. Itulah bagaimana semua ini terstruktur. Saya berharap saya bisa mengubah ini," kata Carsten Haitzler.

Beberapa software dan aplikasi yang ada di perangkat Tizen seperti browser internet, Tizen Store di smartphone, Smart Hub di Smart TV, Samsung Cloud, Samsung Health di smartwatch Gear dan lainnya tidak termasuk dalam platform atau OS Tizen, tetapi software yang dikembangkan oleh Samsung Electronics buat produk atau perangkat Tizen buatan mereka yang dirilis ke pasar. Maka dalam hal ini jika ada bug atau kerentanan keamanan pada software-software tersebut menjadi tanggung jawab Samsung Electronics untuk memperbaikinya dan merilis pembaruannya, bukan oleh pihak pengelola Tizen seperti Linux Foundation, Samsung Software Center, atau Intel Open Source Technology Center untuk memperbaikinya.

Dan Carsten Haitzler menemukan bahwa isu-isu kerentanan keamanan yang dimaksudkan oleh Amihai Neiderman lebih banyak mengarah ke kode klien dari Tizen Store dalam kode yang mengambil/mengunduh data dari Tizen Store, serta ada satu isu yang mengarah pada aplikasi Samsung Cloud.

"Jadi saya pikir apapun artikel yang telah diterbitkan sejauh ini, sebagian besar cuma melebih-lebihkan dan tidak bisa membedakan antara platform yang dan aplikasi produk. Tentu saja aku tidak berpikir itu adil untuk menganggap pembedaan tersebut dapat dibuat oleh orang-orang yang berada dalam posisi "tidak tahu," jelas Carsten Haitzler.


Comments