Tizen è il sistema operativo open source che Samsung sembra volere tenere quasi in disparte, da utilizzare più estesamente se dovesse un giorno avere problemi con Android. Può essere sfruttato su diversi dispositivi quali smart TV, PC, telecamere smart, dispositivi indossabili come gli smartwatch, smartphone e altro ancora. Il produttore sfrutta questo sistema su alcune Smart TV e smartwatch ma secondo un ricercatore israeliano esperto in sicurezza, il codice alla base di questo sistema “è il peggiore mai visto“.
Questa affermazione è già pesante ma l’esperto affonda il coltello parlando di codice che sembra essere sviluppato “da uno studente universitario”. Afferma di avere individuato in Tizen 40 vulnerabilità zero-day e che queste non hanno a che fare solo con bug ma si tratta di vulnerabilità critiche che consentono di eseguire codice in remoto, il Santo Graal cui mirano i cybercriminali (la possibilità di avviare codice a piacere senza bisogno di mettere fisicamente le mani su un dispositivo).
Il ricercatore afferma che alcune vulnerabilità sono talmente ovvie al punto da essere comprensibili anche a chi non ha mai scritto una riga di codice. Una su tutte: Tizen non obbliga all’uso del layer SSL nei protocolli di comunicazione, rendendo insicure tutte le trasmissioni. È presente anche una vulnerabilità che consente agli attaccanti di riscrivere completamente il software del dispositivo. Questa falla ha a che fare con il Tizen Store che consente a un hacker di inviare codice malevolo presentandolo come se fosse un aggiornamento. Il sistema degli update funziona con i privilegi di accesso più elevati ed è possibile bypassare verifiche sui package presentando i pacchetti come aggiornamenti.
Alcuni dei problemi di Tizen derivano dalla sua dipendenza da Bada, sistema operativo mobile di Samsung che nel 2012 è stato fuso con il nuovo per creare un singolo progetto opensource. Bada non è più sviluppato dal 2013, molto del vecchio codice è stato portato in Tizen ma Neiderman evidenzia che tante vulnerabilità sono presenti nel codice scritto negli ultimi anni specificatamente per Tizen.
Il ricercatore dice di avere contattato Samsung mesi addietro per comunicare le vulnerabilità ma questi non hanno mostrato alcun interesse. Solo dopo la pubblicazione dei dettagli, l’azienda ha risposto promettendo di indagare su quanto segnalato.
