Samsungs Android-alternatief Tizen zo lek als een zeef
Een Israëlische veiligheidsonderzoeker stelt dat hij 40 onondekte en kritieke kwetsbaarheden in de programmeercode heeft opgespoord van het mobiele besturingssysteem Tizen. Elk van die zero-daylekken kunnen gebruikt worden om toestellen die het OS draaien op afstand over te nemen.
“Geprogrammeerd door student”
Voor Samsung is dat geen goed nieuws. De Zuid-Koreaanse electronicagigant ontwikkelde Tizen in eigen huis in de hoop dat het met het besturingssysteem op termijn minder afhankelijk zou worden van Googles Androidsysteem. Samsung gebruikt het OS voor het aansturen van smart tv’s, smartwatches en smartphones, en verkoopt deze voornamelijk in Aziatische markten. Cijfers over het totaal aantal toestellen dat Tizen draait zijn moeilijk te vinden, maar het bedrijf zou vorig jaar zo’n 3 miljoen Tizen-telefoons hebben verkocht. Er zouden ook zo’n 30 miljoen Tizen smart tv’s in de omloop zijn.
Amihai Neiderman, de veiligheidsonderzoeker in kwestie, is bijzonder hard voor Samsung in zijn kritiek op het onveilige Tizen. “Dit zou wel eens de slechtste code kunnen zijn die ik ooit heb gezien,” vertelt hij in een interview met Motherboard. “Alles wat je fout zou kunnen doen, hebben zij gedaan. Je kan zien dat niemand met enige kennis van veiligheid deze code heeft bekeken of geschreven. Het is alsof je een student de software hebt laten schrijven.”
TizenStore
Onder de 40 bugs die de veiligheidsonderzoeker ontdekte, was de gevaarlijkste een kwetsbaarheid in de TizenStore, Samsungs appwinkel. Niederman zegt dat hij via de bug erin geslaagd is om de online winkel over te nemen en code te injecteren in een Samsung smart tv. “Je kan een Tizen-systeem updaten met eender welke malafide code.”
[related_article id=”212857″]Ook al is het grootste deel van de code achter Tizen vrij oud, de meeste bugs die Neiderman opspoorde zaten volgens hem in de delen die minder dan twee jaar geleden toegevoegd werden aan de software en zijn vaak ook fouten die al lang gekend zijn. Het beeld dat de Israëlische onderzoeker daarmee schetst van Samsungs knowhow is allerminst fraai te noemen.
Neiderman probeerde contact op te nemen met het Zuid-Koreaanse bedrijf om de veiligheidsrisico’s van Tizen aan te kaarten, maar kreeg daar geen gehoor. Nu hij zijn verhaal in de pers heeft gedaan, heeft het bedrijf laten weten dat het volledig bereid is om samen te werken met de veiligheidsonderzoeker.